Transcription

1 Grand évènement de l'atelier sécurité de Forum ATENA Comme je descendais des Débits impassibles, Je ne me sentis plus guidé par les hackers : Des Chapeaux-Rouges criards les avaient pris pour cibles, Les ayant cloués nus aux poteaux de couleurs. adapté du poème "le bateau ivre" d'arthur Rimbaud

2 Thierry Autret et Dominique Decavèle Louis Pouzin est le créateur du datagramme dans le cadre du projet Cyclades, dans les années 70, à l'origine des protocoles TCP/IP et de l'internet. Il est coordinateur de projets d'eurolinc. OU VA L'INTERNET? MONDIALISATION ET BALKANISATION La mondialisation des activités humaines est le plus souvent présentée comme une évolution inéluctable dissolvant frontières et distances. Est-ce bien sérieux? En réalité le monde est très divisé: pays souverains, lois spécifiques, langues multiples, économies disparates, etc. Pourtant l'internet est perçu comme un système global, homogène, offrant une plateforme universelle de communications multi-media. Ce serait donc un exception paradoxale, si ce n'était pas un mythe. Un épouvantail agité fréquemment par les gardiens du temple est la balkanisation ou fragmentation du réseau, avec son cortège de calamités, discontinuité des communications, confusion des noms et adresses, instabilité, insécurité, perte de fiabilité. En conclusion il faudrait s'efforcer de maintenir au maximum un système de contrôle historique dont les éléments critiques sont verrouillés par le gouvernement des États Unis. On oublie au passage que la Chine a construit son propre internet, qu'il existe des milliers d'intranets, et que les gouvernements de l'égypte et de la Lybie n'ont pas eu besoin d'aide pour interrompre le fonctionnement dans leur propre pays. Il arrive aussi que des ruptures de câbles sous-marins isolent un groupe de régions pendant une à plusieurs semaines. L'internet est un réseau de réseaux autonomes depuis son ouverture commerciale au début des années 80. Il est fragmenté par construction, et il le restera. Il en va de même du réseau téléphonique mondial, ce qui n'empêche nullement d'appeler un correspondant dans n'importe quel pays. Toute évolution majeure de l'internet est en fait conditionnée par le niveau de consensus entre les pincipaux acteurs, opérateurs, industriels télécom, fournisseurs de contenus, lobbies transnationaux, et quelques gouvernements. Il fut un temps où l'icann, mandataire du gouvernement US, faisait la loi. On observe maintenant un réveil des gouvernements dits du sud, tout en déplorant le peu d implication des acteurs de l industrie. Le tropisme de fragmentation se renforce à mesure que les enjeux techniques deviennent minoritaires au regard d'autres domaines comme la propriété intellectuelle, le filtrage des informations, les investissements en infrastructure, la législation, la criminalité, ou les facteurs culturels et religieux.

3 Philippe Wolf, (X78), docteur en Informatique, et ingénieur général de l Armement, est le Conseiller du Directeur général de l'anssi. Il fut responsable du département «sécurité électronique et informatique» du CELAr, Directeur des études de l École Polytechnique, Directeur du Centre de formation à la sécurité des systèmes d information (CFSSI) puis Sous-directeur «Télécommunications et Réseaux Sécurisés» au Secrétariat général de la défense nationale. Il est enseignant à l École Polytechnique,à Sciences-Po Paris, et à, Université Paris 1 Il donne des cours et conférences à l École des Mines-ParisTech, à l École Nationale d Administration et à l Institut des hautes études de défense nationale. Il publie régulièrement des articles sur la sécurité dans le cyberespace. LA CYBERSOCIETE, SOCIETE DE L INFORMATION OU SOCIETE DE LA DESINFORMATION? LES CYBER-CONFLITS, OU VA LA SECURITE DES SYSTEMES D INFORMATION? Internet, souvent présenté comme un espace de non-droit, se structure en zones plus homogènes avec, au mieux, des accords bilatéraux généraux et faiblement opérants. Ces zones seront le reflet d un affrontement très clair entre plusieurs modèles de cybersociété ayant chacune leurs valeurs portées dans leurs modèles de protection des systèmes d information. On distinguera, entre autres, le modèle libéral nord-américain (la liberté fonde la démocratie), le modèle chinois (l'organisation fonde la démocratie), le modèle européen où la protection du faible est plus prise en charge par l'état (la dignité fonde la démocratie). Dans le registre de la souveraineté, des jeux étranges, parfois pusillanimes, se jouent déjà et se joueront : émancipation du contrôle américain de l Internet de la Chine et bientôt de l Inde, déclarations tonitruantes de capacités offensives en la matière (USA, ), volonté de désarmement (Russie qui n a, par contre, pas signé la convention de Budapest sur le cybercrime), affrontements asymétriques sourds, paradis numériques. Les cyber-conflits vont assurément se multiplier. Nous examinerons quelques défis futurs en matière de sécurité des systèmes d information. Il nous faudra prendre mieux conscience des désinformations qui s expriment ici encore plus qu ailleurs. Pour ne prendre qu un seul exemple, la prise en compte des limites des protections antivirales est récente alors que le théorème d indécidabilité du virus date de Il nous faudra mieux comprendre l articulation entre technologies et sens ou valeur des informations manipulées en repensant le secret. Il nous faudra lutter contre les manipulations, aiguiser notre esprit critique, concevoir de nouveaux mécanismes de régulations. Il devient également urgent de revoir le modèle de protection des systèmes d information autour d'offres de services complètement intégrés, au niveau de sécurité adéquat, sans que l'utilisateur n ait à s'en préoccuper. Il nous faudra enfin revisiter le concept de défense en profondeur. La défense de nos systèmes d information futurs passe assurément par une revalorisation de l humain qui en sera, contrairement aux clichés, le maillon fort.

4 Robert Erra est Docteur en Informatique et Directeur Scientifique des Mastères Spécialisés en Sécurité à l ESIEA PARIS. Il fait de la recherche en algorithmique pour la sécurité et publie régulièrement dans des conférences ou des magazines. THE MALICIOUS FLASH CRASH ATTACK OU POURQUOI IL FAUDRA PEUT-ETRE RALENTIR LES TRANSACTIONS ELECTRONIQUES. Peu après 14h, le 6 mai 2010, l'indice S&P du NYSE perd en quelques minutes 10%, plusieurs actions voient leur cours proposés à un penny (Accenture, Procter and Gamble), une action grimpe à , la SEC décide en fin de journée d'effacer purement et simplement environ 25 mn de transactions : c'est ce qu'on appelle le Flash Crash ou le Crash Éclair. Cela a-t-il été possible, essentiellement selon nous à cause de trois phénomènes : 1. Apparition des algorithmes de High Frequency Trading (HTF); plus de 50% des transactions au NYSE et de programmes qui les implémentent. 2. Utilisation de faux ordres de vente (ou d'achats) d'actions pour «pourrir» les données des concurrents. Généralement annulés après quelques millisecondes. C'est totalement légal! Cela s appelle le Quote Stuffing (ou Stub Quote): «bourrage >> de cotations» (interdit maintenant au NYSE) 3. Utilisation intensive des réseaux pour réaliser massivement et rapidement le Quote Stuffing. Les connaisseurs en sécurité informatique auront reconnus dans le Quote Stuffing une forme nouvelle de DoS, un Déni de Service d'un type nouveau : le Déni de Service Financier (FDoS) légal dans de nombreuses places boursières. Serait-il possible de voir peut-être bientôt apparaitre une nouvelle attaque: totalement légale cette fois-ci, le «Crash Éclair Malicieux», involontaire ou volontaire? Nous verrons hélas que oui, d'où le titre The Malicious Flash Crash Attack, avec une variante totalement légale et une autre variante totalement illégale. Peut-on se protéger conter ce type d attaques? A moins de ralentir les réseaux utilisés pour ces transactions bancaires et d interdire purement et simplement la pratique du Quote Stuffing, et en espérant que les algorithmes de HTF ne soient pas trop mal programmés, il semble difficile d éliminer à 100% le risque de voir le NYSE s écrouler en quelques minutes suite à un Crash Éclair Malicieux.

5 Michel Riguidel, professeur émérite à l École Nationale Supérieure des Télécommunication devenu Telecom ParisTech, enseigne la sécurité numérique et les réseaux de nouvelles générations. Il dirige des recherches sur la sécurité de l Internet du Futur et sur la protection des infrastructures critiques. Dépositaire de nombreux brevets sur la protection des CDs et DVDs ou sur le téléchargement illégal, il est à l origine du mot «tatouage» en sécurité informatique. Il est expert à l Agence nationale de la recherche, à OSEO, à la Commission Européenne et est membre du Conseil scientifique de l INHESJ, du Conseil d Évaluation Télécommunication à la direction générale de l armement (DGA). En 2004, il a dirigé l ouvrage La sécurité à l ère numérique (Hermès Lavoisier) et a publié Le Téléphone de demain (Le Pommier). En 2010, il a été chargé de rédiger les spécifications fonctionnelles des moyens de sécurisation pour Hadopi. PERSONNALISATION DE L'INFRASTRUCTURE, TRANSPARENCE DU RESEAU. Pourra-t-on bientôt construire ou configurer son propre réseau de telle manière qu on puisse le superviser soi-même? Est-il possible d en confier l exploitation et la supervision en toute transparence à un tiers? Et qu en est-il de ses propres calculs? Qu en est-il de la conservation de ses propres données? Les propriétés (interopérabilité, neutralité, sécurité, etc.) que l on exige du réseau ne doivent-elles pas s appliquer aussi au calcul et au stockage? Le monde numérique qui se veut ouvert, interopérable, neutre ne devient-il pas opaque, fermé, discriminant et fragmenté? La souveraineté numérique et la dignité numérique sont-elles des cibles inaccessibles? On assiste pourtant à une mutation inexorable. Les réseaux s'immiscent toujours dans les secteurs d'activité des entreprises ou de la vie quotidienne en bousculant les architectures et les procédures des métiers et des activités. Cette conquête de nouveaux territoires s'accompagne de nouvelles exigences en termes de propriétés des communications (interfaces avec les standards du secteur électrique pour les smart grids, contraintes des secteurs santé, du transport, des finances). Certains voudraient tout changer (l approche de la page blanche) et contraindre l'industrie à progresser plus vite, d'autres voudraient conserver les modèles actuels sous cloche et laisser faire les usages. L'histoire des sciences et des technologies nous a montré que le progrès technologique ne s'accélère pas ou ne s'arrête pas par décret et qu'il obéit à des lois, en fonction de l'idéologie et du contexte du moment. On présente le règne numérique comme un écosystème dynamique, darwinien, puis on analyse les fonctions principales de l informatique : calculer, communiquer et conserver. Ces trois fonctions ont des valences techniques, économiques, sociales et politiques qui s'entrecroisent et s'agrègent de plus en plus avec interdépendances. On ne peut dissocier l'usage des réseaux et leur structure. Il en va de même de l'informatique. On analyse les verrous et les moteurs de l évolution des TIC en examinant les représentations sous-jacentes et les principes et les conditions pour qu un modèle conceptuel puisse apparaître et prospérer. On présente l'évolution des réseaux et de l'informatique, avec une approche de morphogénèse, au niveau spatial et au niveau temporel. On conclut par la proposition de nouvelles représentations des communications à venir et par l exploration de nouveaux modèles de l Internet de demain.

6 Mauro Israël est expert en sécurité des systèmes d'information depuis plus de 25 ans, au cours desquels il a effectué des missions de sensibilisation à la sécurité, du hacking éthique et de nombreux audits de sécurité auprès de grands groupes et institutions internationales. LA NETOCRATIE En voyant à quelle vitesse se répandent des applications du web comme les réseaux sociaux, le commerce électronique, l usage des smartphones ou des tablets, les blogs, les chats, la téléphonie sur IP, la géo-localisation, les sites de notation des restaurants, hôtels, voyages, les sites de rencontres, les sites de partage de vidéos, les jeux en ligne etc On pourrait se dire qu on est vraiment embarqués sur un «bateau ivre» De plus, vu les dangers et les menaces de piratage dont les medias se font écho pratiquement chaque jour, on peut également se dire que le bateau en plus d être «ivre», navigue dans un véritable «champ de mines»!!! En tant que membre de la génération des «mutants» -ceux qui ont connu «l avant Internet»- je suis fasciné par la vitesse d adoption de ces applications par la génération des «natifs» - ceux qui n ont connu qu Internet existant. Bien sûr au début le comportement cherche son chemin, mais très vite on se «skype», on se «FB» on «chatte», on se «twitte» Mon propos est de montrer comment Internet est en fait «auto-immune» pourvu que l on explique aux utilisateurs les bonnes pratiques que l on «démine» le terrain de la sécurité. Pour cela je présenterai l idée que le hacking sert en fait à améliorer la sécurité en donnant des exemples concrets. Mon «pil-poul» sera d intervenir en 2 e position et fera la thèse des dangers d Internet et de la necessité d intervenir, voire de réguler, voire de légiférer, voire d interdire Mon propos sera d autoriser, d amplifier, d accélerer Internet et de proposer ma devise des experts sécurité de l internet de demain dans une cybersociété avancée: «protéger & servir». Pendant le débat -et si j ai un peu de tempsj avancerai ma proposition d evolution de la société que j ai dénommée «NETOCRATIE»

7 Michel Charron est ingénieur en Télécommunications. Il a ensuite complété sa maîtrise des aspects économiques et organisationnels par un troisième cycle à l'enst et à l'essec, dont il est sorti major en En 2003, il a apporté son savoir faire à une création collective nommée AMESIS, reprenant les activités d'intégration pour y ajouter le conseil vers les S.I. sensibles, en ayant comme clientèle la Présidence de la République, l Intérieur, les Finances, Lafarge, Air Liquide, Mairie de Marseille, etc. Depuis 2009, il a repris son indépendance et créé un nouveau cabinet d'audit et conseil exclusivement centré sur la sécurité des systèmes d'information sensibles, nommé "Charron consultants". Âgé de 60 ans, il n'a vraiment pas l'esprit d'un futur retraité et compte bien s'épanouir dans ce domaine passionnant encore de nombreuses années. Le web va se fragmenter selon plusieurs lignes de "failles", par métaphore sismique... des webs "régionaux" ou même "continentaux", à l'instar de la Chine et de son "AsiaNet" ; des webs "linguistiques", où l'on pourra utiliser toute la puissance de sa langue maternelle pour exprimer une recherche, une adresse ; des webs "culturels" qui embarqueront ou non des webs sectaires et/ou ethniques ; des webs "fermés", sécurisés, anonymisés, plus ou moins cachés selon les objectifs suivis par leurs promoteurs et/ou utilisateurs ; des webs commerciaux, sur base "navigation" et/ou activité sociétale, essayant avec des bonheurs divers d'attirer des Internautes dans leurs filets pour en revendre l'identité et leurs besoins et/ou habitude et/ou opinion... Mon intervention portera sur les questions : qui va payer pour supporter ces différents webs? sur quelles infrastructures? gouvernées par qui et comment? quelle en seront les dispositifs et protocoles techniques? quels en seront les acteurs et les règles? le web actuel y survivra-t-il? (Google, Wikipédia, Rue du Commerce, Le Louvre, etc.) Avec une revue des signes avant-coureurs.

8 Evènement gratuit Inscription obligatoire Par Mercredi 8 juin 2011 accueil à partir de 13h30 Immeuble "Le Ponant de Paris" Sagem, groupe Safran 27, rue Leblanc Paris NOS SPONSORS NES CONSEIL