Contribution au groupe de travail «technologies de l'information, de la communication de la sécurité»

Transcription

1 Contribution au groupe de travail «technologies de l'information, de la communication de la sécurité» GT TICSI pour le Député Bernard Carayon Assemblée Nationale Par Bruno Kerouanton Responsable Sécurité & Nouvelles Technologies chez Clear Channel France (ex Dauphin Affichage) - février 2005 Point numéro deux : le logiciel libre. A - HISTORIQUE 1. Stallmann, GNU, FSF Le logiciel libre est né dans les années 70 au sein d un mouvement «contestataire» mené par Richard Stallmann. Celui-çi se plaint que les pilotes d impression fournis par un constructeur informatique sont propriétaires et que le coût de la licence associée est prohibitif. Il lance alors un grand chantier de développement qui vise à redévelopper l ensemble des outils propriétaires tout en fournissant le code source associé, le projet GNU («GNU is Not Unix», Unix étant à l époque une marque déposée et évoquant la notion de logiciel propriétaire). La création à cette occasion de la fondation pour le logiciel libre, la FSF (Free Software Fondation), sera également le vecteur principal pour répandre cette philosophie de «logiciel libre». Richard Stallman est l auteur de nombreux logiciels actuellement utilisés dans le monde libre, notamment l éditeur de textes Emacs. Depuis le début, il mêne un réel discours d évangélisation au monde libre, en participant à de très nombreuses conférences et débats, et en prenant position lors de la plupart des conflits entre éditeurs de logiciels et acteurs du monde libre. 2. Les premiers noyaux Libres : Minix, Linux Andrew Tatenbaum est le concepteur d un des premiers systèmes d exploitation libres ; il s agit d un petit noyau Unix appelé Minix. En effet, dans le cadre des cours d architecture des ordinateurs qu il dispensait, il avait conçu un mini noyau Unix qu il distribuait à ses élèves avec le code source associé, afin qu ils puissent comprendre son fonctionnement. Linus Torvalds, un étudiant finlandais qui suivit les cours d Andrew Tatenbaum, utilisa le code source du noyau Minix pour à son tour apprendre à concevoir un système d exploitation,

2 et il donna naissnce à la toute première version du noyau Linux. Celle-ci n avait rien à voir avec le Linux que nous connaissons actuellement, mais les briques de l édifice étaient dès à présent posées. A l aide des premiers réseaux Internet commençant à se démocratiser dans le monde universitaire et scientifique, il pose différentes questions techniques dans des forums de discussion (Usenet), et à sa grande surprise différentes personnes semblent intéressées par son projet et lui proposent de contribuer à leur tour. Ce mode de développement collaboratif en réseau, novateur à l époque, permet d apporter un certain nombre d améliorations au noyau Linux. 3. Du monde universitaire à la société : les «distributions». Avec d un côté le projet GNU mené par Richard Stallmann et la FSF, qui donnera naissance à la plupart des outils et utilitaires Open Source, et d autre part le noyau Linux mené par Linus Torvalds, les bases sont posées pour la création d un environnement «libre» complet. Différentes sociétés sont crées (Slackware, RedHat, etc.) qui proposeront non seulement la diffusion commerciale ou non d un ensemble composé du noyau Linux et des outils GNU, appelé «distribution», mais également contribueront de manière active à l amélioration des outils et rendront les interfaces plus conviviales pour les différents utilisateurs. 4. Démocratisation et industrialisation Grâce au phénomène de propagation via le réseau Internet, et le fait que les chercheurs et universitaires sont les premiers utilisateurs et contributeurs de Linux, cette distribution connaît un succès important. D une part les enseignants se servent de Linux pour leurs cours ce qui contribue à répandre peu à peu Linux dans les entreprises, les nouveaux diplômés ayant alors tendance à l installer sur leur lieu de travail pour des tâches d abord secondaires, puis de plus en plus critiques, avant de devenir carrément un outil de production d entreprise. Les constructeurs informatiques majeurs constatent ce phénomène, et prenant conscient de son ampleur et de l importance stratégique associée, commencent alors à supporter officiellement Linux sur leurs gammes de serveurs. Ils nouent alors des partenariats avec les principales sociétés distributrices de Linux, ce qui leur permet d assurer auprès de leurs clients une certaine qualité de support technique. 5. De l infiniment petit à l infiniment grand Linux connaît alors un succès sans précédent, et de nombreuses contributions visent à améliorer sa portabilité vers différentes plate-formes. On retrouve alors des versions «embarquées» du système, permettant de faire fonctionner des équipements divers (machines outils, chaînes Hi-Fi haut de gamme, routeurs, assistants personnels, téléphones portables, et même cartes à puce). A l opposé, différents projets visent à concevoir des «clusters», batteries d ordinateurs, voire de supercalculateurs fonctionnant sous Linux. Celui-ci est alors à même de se hisser au niveau de performance des plus grands calculateurs parallèles actuellement en production sur la planète, et est adopté par différents organismes nécessitant de la puissance de calcul : Nasa, CEA, etc.

3 6. Linux dans le grand public L utilisation des systèmes Unix a jusqu à récemment été réservé aux experts et scientifiques, car leur fonctionnement repose sur la saisie de commandes avec des options revêtant un caractère ésotérique pour le néophyte, et nécessitant un apprentissage assez conséquent. Les différentes sociétés distributrices de Linux, notamment RedHat, Mandrake et Suse, ont saisi l importance de l interface utilisateur, et ont très rapidement contribué de manière conséquente au développement d une couche graphique pouvant alors être utilisée de manière intuitive par tout utilisateur, à l instar de l interface Macintosh ou Windows. Comme d habitude dans le monde libre différents projets ont vu le jour simultanément, KDE et Gnome étant les plus répandus. La maturité de des interfaces graphiques a ensuite permi le développement d outils «grand public» de qualité, tels que traitement de textes et tableurs (OpenOffice), outils de retouche d images (Gimp), etc. Ces utilitaires ont dans la foulée été portés pour d autres environnements, tels que Microsoft Windows, et leur appartenance au monde libre ainsi que leur qualité comparable à leurs équivalents commerciaux contribuent à leur expansion dans des environnements propriétaires. Ainsi la gendarmerie est en train par exemple de déployer un certain nombre de suites bureautiques libres, baséees sur OpenOffice. B - POINTS DE REFLEXION 1. Le logiciel libre présente-t-il des garanties de sécurité? 1.1 Auditabilité du code source De nombreux détracteurs et promoteurs du logiciel libre soutiennent le fait que sa sécurité est supérieure aux logiciels propriétaires, car son code source est disponible librement, et peut donc être audité et corrigé. Ce point est à nuancer, car dans la pratique si en effet toute personne peut avoir accès au code source d un logiciel libre, cela ne signifie pas pour autant que des audits et revues de code seront effectuées systématiquement. De plus, la sécurité d un outil n est que partiellement assuré par la qualité de son code source, la plupart des problèmes courants sont liés à des mauvaises configurations. Conclusion : Il appartient à toute personne souhaitant s assurer de la sécurité d un logiciel libre, d une part de le faire auditer par un spécialiste. Les forums de discussion sur Internet sont également une bonne source d information permettant de lire certains propos et critiques relatifs à des logiciels libres ou non. Enfin, le fait qu un logiciel, libre ou propriétaire, soit «certifié» comme étant exempt de failles de sécurité, ne signifie pas pour autant que sa mise en œuvre sera sécurisée. Il est impératif de veiller à la bonne installation, configuration et utilisation du logiciel en question, une mauvaise installation ou configuration pouvant réduire à néant tous les garanties de sécurité apportées lors de l audit du logiciel.

4 1.2 Développement de code sécurisé Le mode de développement collaboratif et la facilité à publier des logiciels libres notamment par le biais du réseau Internet, fait que des dizaines de nouveaux programmes libres sont conçus quotidiennement. Les auteurs ont dans la grande majorité des cas de bonnes intentions, mais ne sont pas souvent au courant des bonnes pratiques en sécurité, notamment celles liées au développement de code fiable et sécurisé. Environ 95 % des programmes libres mis à disposition comportent des failles de sécurité dans leurs versions initiales, car les développeurs en question n ont pas la maîtrise du développement sécurisé, technique asez complexe et nécessitant de bonnes connaissances. De plus, il est bon de rappeler que les cours de programmation et enseignements universitaires ou professionnels proposés aux développeurs n intègrent quasiment jamais la notion de développement sécurisé, on ne peut alors pas blâmer les développeurs, qui n ont pas appris à le faire. Enfin la vague d embauches de soi-disant ingénieurs informaticiens lié au passage de l an 2000, ainsi que la demande importante de concepteurs de sites web, ont amené un certain nombre de professionnels non qualifiés à se retrouver développeurs de programmes ou de sites web, sans pour autant qu ils aient appris la programmation de manière formelle. Cela ne rend pas facile la tâche du responsable sécurité, car ces développeurs ont souvent pris de mauvaises habitudes de programmation et ne veulent pas se rendre compte des problèmes associés aux mauvaises pratiques de développement. Ce constat que je fais pour le logiciel libre, est en fait également valable dans le cadre de logiciels commerciaux. En effet, les éditeurs sont confrontés aux mêmes problèmes de manque de sensibilisation et de prise en compte de la sécurité dans les développements. Face à ce constat, je peux citer par exemple Microsoft qui a imposé à l ensemble de ses salariés la lecture d un livre traitant de la sécurité lors des développements logiciels. C est une étape importante et recommandée mais cela ne suffit pas. Conclusion : Le problème lié au fait que les développements n intègrent pas souvent la sécurité dès le départ concernt non seulement les logiciels libres, mais la grande majorité des logiciels commerciaux. L avantage du logiciel libre est lié au fait que l on pourra soi-même relire le code source, s assurer de sa qualité et éventuellement proposer à la communauté des améliorations visant à apporter une certaine garantie de sécurité. De plus, la plupart des logiciels libres répandus de manière importante sont souvent revus et corrigés cela entraîne un effet de bord intéressant du côté des statistiques : puisque plus d audits et de corrections ont lieu sur ces logiciels que sur leurs homologues propriétaires, il est évident que le nombre de failles découvertes (puis corrigées) soit supérieur, ce qui fait le bonheur des sociétés commerciales qui peuvent ensuite prétendre grâce à ces chiffres que leurs logiciels propriétaires comportent moins de failles, ce qui n est pas toujours le cas. 1.3 Cibles d attaques

5 Un des avantages liés au monde libre est que celui-ci étant pour le moment moins répandu, il y a moins d attaques ciblées visant ce type d outils. De plus, certaines catégories d attaquants sont motivées par des raisons idéologiques (vision anti monopolistique, anti américaine etc.), ce qui fait qu ils concentrent l essentiel de leurs efforts lors de la mise au point d outils et de méthodes d attaques contre des logiciels et systèmes d exploitation commerciaux, et non contre des logiciels libres. On peut alors déduire que les logiciels libres sont moins souvent attaqués. Preuve en est du nombre de virus et de vers visant par exemple Linux, qui est proche de zéro. 1.4 Rapidité de mise à disposition des correctifs Le mode de travail collaboratif et surtout la localisation géographique de la communauté du libre sur une grande partie du globe procure des avantages non négligeables lors de la correction de failles de sécurité. Il est désormais courant de constater que les failles importantes de sécurité du noyau Linux par exemple sont corrigées très rapidement après la divulgation de la vulnérabilité, de l ordre de 10 minutes à quelques heures. Cela est lié au fait que les personnes contribuant à la maintenance du noyau sont répartis sur les 5 continents, et sont donc inconsciemment capables de fournir un support réactif 24 heures sur 24, 7 jours sur 7. Quand l Europe dort, les USA sont éveillés et peuvent assurer le support. Quand les USA dorment, l Asie se réveille et assure le support, et ainsi de suite. Nombre de sociétés commerciales ne sont pas à même d apporter un support aussi réactif. Les CERT (Computer Emergency Response Team) mondiaux qui sont chargés de surveiller l état du réseau et des attaques dans chaque pays, sont souvent des utilisateurs intensifs de logiciels libres, et la plupart sont en contact permanent avec la communauté du monde libre, voire eux-mêmes contributeurs et mainteneurs. Cela leur permet d avertir très rapidement les développeurs en cas de menace sur un logiciel libre, et dès lors, nombre de correctifs urgents sortent sont rendus publics sur les logiciels libres avant que ceux-ci soient disponibles sur leurs homologues commerciaux. De plus, certains logiciels libres proposent des mécanismes de mises à jour automatiques sécurisées et robustes, qui fonctionnent de manière efficace et sans nécessiter d interruption de la production (par exemple la distribution Linux Debian). 1.5 Respect des standards Il faut déjà s entendre sur la définition d un standard. Certaines sociétés commerciales ont très vite compris l enjeu et ont développé puis imposé leurs propres standards. Cependant, historiquement, les standards actuellement utilisés dans le monde informatique sont en majorité issu du monde universitaire et de la recherche, et sont par conséquent ouverts, et librement intégrables dans les applications, commerciales ou non. Cela permet notamment d assurer l interopérabilité entre systèmes, et la garantie pour l utilisateur d une certaine pérennité.

6 Certaines sociétés commerciales ont également pris certains standards ouverts, mais les ont adaptés à leurs besoins, limitant souvent l interopérabilité à leurs propres produits. Cela leur permet officiellement d apporter des «améliorations» aux standards, cependant comme ces améliorations ne sont pas rendues publiques, cela engendre une captivité du marché, les clients devant évoluer dans le périmètre imposé par l éditeur si ils souhaitent que ces améliorations fonctionnent. De manière générale, les standards techniques utilisés en informatique sont publics et utilisables librement, tout comme les logiciels libres. Il va par conséquent de soit que la communauté du monde libre s efforce d utiliser les standards techniques ouverts, conscient du fait que cela garantit la pérennité et l interopérabilité de leurs logiciels. Conclusion : Les logiciels libres sont généralement plus respectueux des standards, gage de sécurité. 1.6 Pérennité du code source Lorsqu un éditeur de logiciels dépose le bilan, il arrive que le code source soit perdu. Les client sont alors contraints de changer de logiciel si ils souhaitent bénéficier du moindre support ou d évolutions. Cela est également le cas pour la majorité des logiciels commerciaux, les éditeurs ne supportant pas leurs produit après un certains nombre d évolutions, de versions, ou d années. Là encore, l utilisateur est contraint de changer de version de logiciel si il souhaite bénéficier du support de l éditeur. Le logiciel libre étant fourni avec son code source, sa pérennité est implicitement bien plus importante, puisqu il est possible de le faire évoluer et de le maintenir soi-même ou en faisant appel à une société tierce. Conclusion : Avantage des logiciels libres face à la pérennité et à l évolution des ssytèmes. 2. Quels problèmes rencontre t on dans l entreprise à son utilisation? Lorsque j ai rejoint le monde du travail, en 1995, j avais la chance d avoir déjà utilisé Linux et des outils «libres» auparavant. Cela m a rapidement permi d introduire du logiciel libre lors de mes différents passages en entreprise, notamment chez IBM puis à France Télécom, Cégétel, Alcatel, puis maintenant chez Clear Channel (ex Dauphin Affichage). Pendant un certain temps il était impensable de faire tourner des outils de production sous Linux, et le fait d évoquer le monde du logiciel libre auprès de certains responsables risquait de compromettre l évolution de carrière. J ai néanmoins utilisé de manière assez soutenue ce type d outils pour me faciliter la tâche au quotidien. Les principaux utilisateurs de logiciels libres en entreprise sont en effet les administrateurs systèmes et réseaux, qui profitent de la puissance offerte par ces logiciels libres pour automatiser un certain nombre de tâches

7 récurrentes et également pour se former et créer des maquettes techniques leur permettant de valider tel ou tel point avant une mise en production de systèmes propriétaires. C est donc souvent à l insu des responsables informatiques que Linux est arrivé au sein de l entreprise, les équipes informatiques utilisant le logiciel libre pour leurs besoins personnels. De temps à autre, les systèmes et applications propriétaires ne convenant pas aux administrateurs systèmes, ceux-ci les ont remplacées par des logiciels libres sans pour autant en informer leurs responsables. J ai en mémoire un certain nombre de cas où les passerelles de messagerie et les serveurs web ont été migrés sous environnement Linux sans pour autant que les responsables en soient informées préalablement. On pourrait donc dire que le logiciel libre est entré par la petite porte, sournoisement mais efficacement. Voici les freins et griefs couramment constatés à l encontre de Linux en entreprise : «Linux n est pas supporté, c est le fruit d amateurs». La communauté du logiciel libre est en effet majoritairement composée d amateurs et de passionnés conçevant leurs logiciels sur leur temps libre. La notion de criticité et de contrôle qualité n est souvent pas primordiale, néanmoins comme la plupart des auteurs ont pour motivation la reconnaissance au sein de la communauté, ils veillent à ce que leurs logiciels fonctionnent le mieux possible et tentent de corriger les problèmes dans la mesure du possible et de leurs connaissances en informatique. Dans le cas où le logiciel présente un intérêt auprès d autres membres de la communauté, l équipe de maintenance vient à s étoffer ce qui améliore la qualité, et certaines sociétés commerciales offrent également le support pour ce type de logiciels. Enfin, en général les auteurs de logiciels libres sont très courtois et répondent aux questions que l on peut poser soit directement par ou via des forums, soit par la publication de documents et FAQs, ce qui correspond même dans certains cas à un niveau de support supérieur à ce que proposent certaines éditeurs. «Les logiciels libres ne me permettent pas un transfert de responsabilité» En effet, lors de la signature d un contrat auprès d un éditeur commercial, on a souvent le sentiment que tous les problèmes éventuels qui pourront survenir par la suite pourront être reportés auprès de l éditeur, celui-ci assurant le développement et le support de son produit. Cela permet à première vue au dirigeant informatique de se dégager de la responsabilité en cas de défaillance du produit. Dans la pratique, les contrats logiciels des éditeurs sont très clairs, ils ne proposent aucune garantie que ce soit par rapport à un quelconque dysfonctionnement ou bug éventuel. Cela concerne aussi bien les systèmes d exploitation que les applications, bases de données etc. En cas de réel problème avec un logiciel, il sera assez difficile de se retourner contre l éditeur, souvent basé aux Etats-Unis, d autant plus que l utilisation du logiciel signifie que l utilisateur a accepté de manière implicite le contrat logiciel qui dégage l éditeur de toute responsabilité.

8 Dans le cas du logiciel libre, la situation est similaire, les auteurs déclient en effet toute responsabilité suite à des problèmes éventuels liés à l utilisation de leurs logiciels. En conclusion, que ce soit avec les logiciels libres ou avec les logiciels commerciaux, le dirigeant informatique n est pas protégé légalement en cas de dysfonctionnement, et cet argument souvent brandi contre les logiciels libres n a aucune valeur puisque c est également le cas pour tous les logiciels. «Afin de ne pas avoir de problèmes avec ma Direction, je préfère choisir les standards du marché» Dans le monde des éditeurs logiciels, les «standards» sont souvent définis non pas par rapport à des besoins utilisateurs, mais par les éditeurs eux-mêmes, qui imposent leut point de vue. Le standard étant le logiciel le plus répandu. Face à une Direction, choisir un standard du marché semble un choix raisonnable, «d autres ont essuyé les plâtres» et par conséquent les risques de voir ses choix techniques critiqués en cas de souci sont assez limités, puisque «les autres ont fait comme cela». Cette démarche prudente est malheureusement encore trop présente en France, tandis que la stratégie du risque et de l innovation est prisée Outre-Atlantique. Je pars du principe qu il faut savoir prendre ses responsabilités, qu un produit issu du monde libre ou novateur n est pas plus «dangereux» qu un autre, du moment où on en a évalué le potentiel et les failles. C est ainsi que par exemple j ai déployé depuis mon arrivée chez Clear Channel France différentes technologies novatrices utilisant des systèmes issus des logiciels libres, en mettant ma responsabilité en jeu. Cela a été payant, puisque ces architectures sont désormais leader en France, et des sociétés comme Alstom, Yves Rocher, Danone ou PSA sont venues me rencontrer pour que je leur montre tout cela et que je puisse leur apporter la «preuve que cela fonctionne» dont ils ont besoin au niveau de leur Direction. Que ce soit la suite bureautique OpenOffice, le navigateur Firefox, les outils web Apache / Php / Mysql, ou bien d autres logiciels libres, le problème de la fiabilité lors de l utilisation en production ne se pose pas car ceux-ci sont reconnus comme robustes et efficaces, le seul problème vient de la décision ou non de franchir le pas. C est pour cela que je communique sur mes projets (voir point ci-dessous), cela permet de crédibiliser le tout. 3. Faut-il en favoriser le développement? Comment? La communauté du libre est composée principalement de passionnés qui croient en leurs logiciels et au modèle associé. Le principal frein est actuellement au niveau de décisionnaires et dirigeants qui n osent pas franchir le pas. Voici comment je contribue à introduire les logiciels libres dans les sociétés françaises : - Par le biais de conférences : Fréquentant différent cercles de responsables sécurité ou de directeurs et décisionnaires, de part ma fonction, je leur donne régulièrement des conférences sur les projets qui me semblent intéressants, notamment en faisant appel aux logiciels libres si cela est nécessaire.

9 - Par la presse : En communiquant sur des projets réalisés au sein de mon entreprise, et mettant en œuvre des logiciels libres, cela crédibilise également ce système. Nombre de DSI et décisionnaires m ont confirmé que le fait d avoir un témoignage dans la presse confirmant qu une grande entreprise utilisait avec succès tel ou tel logiciel libre, leur permettait ensuite d aller voir leur Direction avec confiance, et d obtenir les budgets nécessaires. - Par l éducation : Former les futurs dirigeants et décisionnaires, les sensibiliser au monde du libre, me semble primordial car ce sont eux qui feront les choix d utiliser ou non des logiciels libres par la suite. Les techniciens et ingénieurs sont déjà convaincus, ce n est par conséquent pas la peine de les sensibiliser, mieux vaut se concentrer sur les cadres et dirigeants. Je donne ainsi des cours de sécurité à l Ecole des Mines, où je profite de l occasion pour introduire les logiciels libres. - En faisant confiance à des PMI/PME expertes en logiciels libre : Lors des projets, il ne faut pas hésiter à faire appel à de petites structures spécialisées en logiciels libres, et expertes en la matière. Cela leur permet d avoir un apport de commandes et par conséquent contribue à leur développement. Le projet sous-traité est également mené à bien car ces petites structures sont réellement composées de passionnés et de communautaires du libre, et ceux-ci sont confortées dans l idée que le projet sera en production dans une grande entreprise. En contrepartie, je leur propose à l issue du projet de communiquer avec eux sur ce projet, et Clear Channel sert finalement de plus en plus de vitrine pour leurs futurs clients. C - ANNEXE Autres distriutions «libres» majeures : - Linux Debian est une distribution Linux équivalente à ce que proposent les éditeurs commerciaux RedHat, Mandrake ou Slackware, si ce n est que Debian est strictement associtif, et clame son indépendance vis-à-vis des pressions pouvant être menées par les éditeurs ou constructeurs. Cela est à double tranchant, car cette distribution est en général non supportée officiellement par les différents distributeurs et constructeurs, mais cette indépendance suscite beaucoup d intérêt auprès des «puristes» du monde libre, et ceux-ci tendent de plus en plus à faire reconnaître Debian comme le seul et véritable Linux totalement libre. Debian est d ores et déjà en production de manière significative au sein de différentes entreprises et organismes. - OpenBSD est une distribution basée sur un noyau Unix de type BSD. Ses auteurs, menés par le canadien Théo de Raddt, revendiquent le fait que tout le code source est audité régulièrement par des experts reconnus en sécurité, ce qui fait d OpenBSD l un des Unix les plus sécurisés. Cependant il faut reconnaître qu il est assez complexe à mettre en œuvre et que l on retrouve plus généralement ce système dans des «boîtes noires» orientées sécurité (sondes de détection d intrusion, pare-feux, etc.).

10 L association s occupant d OpenBSD est également créatrice de différents outils de sécurité qui ont ensuite été «portés» vers d autres plateformes, notamment l outil de communication sécurisé OpenSSH. - FreeBSD et NetBSD sont des distributions également basées sur des noyaux de type BSD. La première est annoncée par ses auteurs comme orientée réseaux, son noyau étant particulièrement optimisé pour le traitement des données transitant par le réseau. Il est par conséquent assez souvent utilisé dans des applications de type Pare-feux ou routeurs. Beaucoup plus simple et souple d utilisation qu OpenBSD, il est plus répandu et on le retrouve également parfois au niveau des postes de travail utilisateurs. NetBSD est une distribution plus ancienne, visant initialement à porter Unix sur la quasi-totalité des plateformes matérielles. Cette fonctionnalité étant désormais reprise par les autres distributions du monde libre, NetBSD tend à perdre de son intérêt.