Phil Cracknell, Deloitte : Les failles Wep ne peuvent être comblées qu'en cherchant leurs responsables
Sur la carte de visite de Phil Cracknell, Deloitte & Touche, l'on peut lire Director security and privacy, ERS Technology assurance & advisory, SBCF CISSP MIRM. Son ennemi : le sentiment de fausse sécurité qu'offre WEP, ce non-protocole de sécurité installé par défaut sur la totalité des points d'accès WiFi offerts par les opérateurs. CSOFrance : Les récentes publications sur le cassage express du protocole WEP sensé protéger les réseaux WiFi sont-elles, à votre avis, surmédiatisées ou l'exact reflet de la réalité ? Phil Cracknell: Il existe deux manières objectives de voir les choses. En commençant déjà par classer, sans avoir peur de se tromper, les cris d'alarmes poussés par les média dans la catégorie « FUD » (ndt : alarmisme injustifié). Qui casse les clefs Wep mis à part une poignée de scientifiques en mal de publication ? Qui se lance dans des opérations de Wardriving hormis telle ou telle entreprise spécialisée dans la sécurité périmétrique ? Qui nous prévient du danger si ce ne sont des canaux d'informations tirant de substantiels moyens de la publicité tirée de ces « affaires » ? Si l'on aborde le problème sous un angle froidement scientifique, on ne dispose véritablement d'aucune métrique fiable sur l'importance du phénomène. Je ne dis pas que les moyens techniques ne sont pas là, je précise cette seule évidence : il n'y a pas aujourd'hui de moyen fiable de mesurer le danger réel lié à l'usage des communications réseau sans fil. Et il n'est peut-être pas dans l'intérêt de l'industrie de la sécurité de chercher à obtenir les chiffres exacts situant l'importance du « problème ». CSOFrance : Il y a au moins l'affaire TJX Phil Cracknell: c'est la première du genre, qui survient après des années de cris d'alarmes -ce qui laisse à penser que la prévention par l'information n'est pas une panacée-. Et, dans le cadre de l'affaire TJX, WiFi n'a pas été le seul point de faiblesse exploité par les pirates. Enfin, une négligence unique ne peut constituer une généralité. Ce n'est pas parce qu'un cambrioleur parvient à percer le mur d'une banque que les autres n'emprunteront plus la porte. Ce qu'il faut retenir de cette situation, c'est que nous savons qu'un certain danger existe, nous savons qu'il peut faire des victimes, mais nous n'avons pas de moyen pour signaler la présence du danger lorsqu'il se fait sentir. Sans métrique, nous avons naturellement tendance à fantasmer sur la menace, à la surestimer... CSOFrance : Cependant, vous êtes un adversaire acharné de WEP. Pourquoi maintenant, pourquoi cette insistance alors que vous reconnaissez vous-même que les craintes ne sont pas « fondées » de manière précise. Phil Cracknell: simplement par habitude et par connaissance des habitudes des hackers « noirs ». Lorsqu'une action criminelle peut être conduite sans trop de danger, elle sera perpétrée. Et s'il existe plusieurs moyens d'effectuer cet acte, c'est l'acte le plus simple qui sera choisi. Et les choses changent actuellement. Jusqu'à présent, il était excessivement courant pour un « wardriver » de tomber sur plusieurs accès WiFi dépourvus de toute protection, parfois même avec des identifiants (SSID) constructeurs, des noms de réseaux désespérément paramétrés avec le mot « Workgroup » ou « MSHome » chers à Microsoft... sincèrement, croyez vous qu'un pirate véritablement malhonnête eut hésité un instant et dédaigné des proies aussi faciles ? Au diable le cassage des clefs Wep, alors qu'il existait tant de proies prêtes à être cueillies. Casser une clef Wep, c'est posséder le bon programme -chose simple de nos jours- mais également disposer d'une carte WiFi très particulière choisie parmi un éventail assez restreint d'adaptateurs, c'était également attendre parfois des journées entières pour obtenir les IV nécessaires à l'attaque -ceci avant la publication de la dernière variante d'Aircrack- ... non, sincèrement, longtemps, le cassage Wep était une chose relevant d'opérations conduites par des curieux ou par des malfrats ciblant un réseau en particulier (et dans ce cas, capables de mettre en oeuvre d'autres moyens si le réseau sans fil venait à leur résister... le cassage Wep n'étant alors qu'un moyen parmi tant d'autres) Mais depuis quelques temps, les opérateurs offrant des services Internet sont de plus en plus nombreux à livrer des modems ADSL WiFi protégés par un protocole Wep. A tel point que le nombre de points d'accès et de réseaux « ouverts » s'est brutalement restreint. Du coup, au sein de l'éventail des protocoles de sécurisation WiFi, c'est Wep qui a pris la place du « fruit le plus facile à saisir ». Et c'est maintenant que l'on doit commencer à craindre une violente montée des attaques contre ce protocole, devenu le maillon le plus faible de la chaine. CSOFrance : Mais vous n'avez toujours pas de métrique Phil Cracknell: (souriant ironiquement) si... TJX ! Non, effectivement, nous n'avons pas de métrique. Simplement un sérieux volume d'arguments supplémentaires. De toute façons, je n'espère pas obtenir des tonnes d'indices de ce type, car, du coté des industries victimes aussi, le FUD fonctionne à plein régime. On n'imagine pas un instant une banque ou autre organisme financier clamer sur les toits le succès d'une attaque ayant utilisé son réseau sans fil interne... C'est une affaire de réputation, et dans ce monde, la réputation a valeur d'argent. On le voit bien, le problème n'est pas seulement une simple histoire de clef WEP. C'est une question de sécurité en général, qui concerne tous les équipements de traitement de l'information et la manière de s'en servir. CSOFrance : Donc, l'affaire TJX servira au moins de signal d'alarme... Phil Cracknell: C'est peu probable. Au cours des dernières années, on a pu constater une progression moins forte des équipements de protection achetés par les grandes entreprises. Tendance généralement noyée par l'extension du marché lui-même. Les directions font l'analyse suivante : « ce filtre antivirus plus perfectionné me coute « tant ». Si je ne l'achète pas, j'économise donc « tant ». Depuis combien de temps n'ai-je pas été attaqué par un virus, et combien cela m'a-t-il coûté ? Et si je provisionne cette somme, qui pourra donc servir à éponger mes pertes en cas d'attaque, je conserverai cet argent. La probabilité d'une menace de ce type est très basse (ou perçue comme basse), j'ai donc de fortes chances de faire des bénéfices sur ce genre de placement ». Le problème posé par la diffusion des technologies sans fil est tout entier résumé dans cette attitude. Il n'existe pas de métriques... aucune raison donc de mieux protéger ce qui n'est pas certain d'être menacé. D'un autre coté, on oublie une série de facteurs supplémentaires favorisant la thèse de la « probabilité d'attaque via sans-fil » : Le Wireless, contrairement à l'attaque par le biais d'un réseau classique, ne laisse pas de trace permettant de remonter vers l'attaquant. En outre, il permet de n'attaquer qu'une cible précise, qualifiée, que l'on peut choisir à l'avance. Enfin, il apporte l'attaque à l'intérieur même de l'infrastructure de l'entreprise victime, parfois même -souvent- en deçà des protections des firewalls et des IDS. Comment quantifier une menace dont la caractéristique principale et d'échapper à presque toute recherche de preuves tangibles ? comment justifier un budget qui... etc etc... CSOFrance : Pas de solution efficace donc, à attendre de la part tant de l'industrie que de la clientèle ? Phil Cracknell: Pas directement. Ou plus exactement, la solution devrait être politique. Et çà commence à venir. Prenez ainsi l'exemple des lois Californiennes qui obligent les entreprises victimes de vol d'identité de prévenir leurs clients dans les plus brefs délais. Il est même question d'en faire une loi Fédérale. Ici, en Grande Bretagne, il existe un mouvement qui milite en faveur d'une plus grande transparence en cas d'attaque ayant provoqué la compromission de données personnelles. Ce ne sera qu'en effectuant une pression légale à tous les échelons de responsabilité que l'on parviendra non pas à éliminer, du moins à limiter bon nombre de défauts pouvant s'avérer dangereux. CSOFrance : La chaine de responsabilité peut s'avérer relativement étendue... vous comptez faire un « sarbox » de la sécurité ? Ou passer pour un bourreau de l'économie libérale ? Phil Cracknell: Il le ne faut pas confondre croissance industrielle et production débridée au mépris de toute règle. De plus en plus de produits, logiciels et matériel, sont mis sur le marché bien trop tôt, sans grands soins. La règle du « quick and dirty », du produit à peine fini mis sur le marché pour mieux contrer un concurrent, c'est le client qui en fait les frais. Ce devrait être à l'entreprise même d'en payer les risques, de subir les contre-coups d'une responsabilité légale lorsqu'il est avéré qu'une faille exploitée a provoqué une perte financière chez l'un de ses clients. La mauvaise conception du Wep, par exemple, ou un logiciel dont on sait pertinemment qu'il a été « pondu trop rapidement » ou qu'il hérite des bugs connus et non encore corrigés de son édition précédente... voilà pour les éditeurs et constructeurs. Mais cette responsabilisation doit également concerner les intermédiaires, les prestataires de services qui ne respectent pas les installations dans les règles de l'art, ou des intermédiaires qui ne bloquent pas une option d'usage qui pourrait s'avérer dangereuse pour des non-spécialistes -opérateurs télécoms et WEP par exemple-, voir un intervenant coupable de négligence et qui perdrait un ordinateur portable dans un avion... Il faut une loi pour que ce genre de choses se sache. Ce n'est que sous la menace de campagnes de presse menaçant leur image de marque, de pénalité financières, de responsabilité pénale vis-à-vis des victimes secondaires que les entreprises incriminables feront disparaitre la majorité des défauts de sécurité. Il faut appliquer à l'industrie des TIC ce que Ralf Nader a imposé à l'industrie automobile en 65. CSOFrance : Qui donc peut initier ce mouvement ? Phil Cracknell: Il est déjà bien amorcé aux Etats-Unis. Sous la pression de sénateurs et de lois d'Etat, qui peu à peu se transforment en lois fédérales. Même si parfois leurs interprétations sont éloignées des intensions originelles. En Europe, il semble que l'on ne soit qu'au début d'une prise de conscience. Probablement aussi parce que nous n'avons pas subis les excès vécus Outre Atlantique. Qui pourrait avoir un tel pouvoir ? La C.E. bien sur. Et les comités qui ont déjà travaillé sur des sujets identiques, ceux qui ont établi Bâle II par exemple.