ANSSI : un point de contact unique pour alerter des failles de sécurité

ANSSI : un point de contact unique pour alerter des failles de sécurité

ANSSI font, font, font

Avatar de l'auteur
Marc Rees

Publié dans

Logiciel

05/10/2016 4 minutes
12

ANSSI : un point de contact unique pour alerter des failles de sécurité

À l’occasion des Assises de Monaco, l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) inaugure un nouveau point de contact pour signaler les incidents cyber touchant la France, d'abord ceux des opérateurs d’importance vitale, avant une ouverture plus massive. 

« C’est un choix opérationnel. Nous avions plusieurs points de contact jusqu’à présent. Cette partie est réorganisée pour plus d’efficacité » nous indique l’ANSSI. Comme relevé sur son site, « pour des raisons historiques », le COSSI ou centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques disposait en effet jusqu’alors de « plusieurs points de contacts (téléphoniques, messageries) en heures ouvrées et heures non ouvrées, pour la prise en compte des signalements d’incidents ou de menaces ».

Pas simple ! Désormais, le CERT-FR, qui joue le rôle de « point de contact privilégié pour les incidents de nature cyber touchant la France », sera en capacité d’exploiter ces alertes 24h sur 24, 7 jours sur 7. Mais à qui s’adresse ce mécanisme d’alerte ? Avant tout aux collectivités et aux opérateurs d’importance vitale, ces acteurs dont une défaillance « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (article L1332-1 du Code de la défense).

La loi Lemaire et les nouvelles compétences de l’ANSSI

Lors des Assises de Monaco, l’ANSSI a surtout annoncé que ce point de contact unique servira également à la mise en œuvre d’une disposition de la loi Lemaire tout juste adoptée mais non encore promulguée.

Elle concerne les découvreurs de failles de sécurité. Le dispositif législatif autorise en effet l'Agence à être informée par eux de l’existence d’une vulnérabilité. Auparavant, l’article 40 du Code de procédure pénale obligeait cette administration à dénoncer automatiquement le nom de cette personne à la justice, quelles que soient ses motivations. Avec la loi Lemaire, celle de bonne foi ne rendant pas publiques ces informations ne subira plus un tel risque.

Face à ces hackers, « certains voient de dangereux acteurs, moi j’y vois plutôt des citoyens outrés par ce qu’ils voient » a commenté Guillaume Poupard. Le numéro un de l’ANSSI a par ailleurs révélé que son agence recevait déjà des signalements, mais sans activer ce fameux article 40... Cela représente « quelques dizaines de signalements par mois émis par des personnes un peu fatiguées d’aller voir directement les acteurs concernés ».

Guillaume Poupard ANSSI
Guillaume Poupard, directeur général de l'ANSSI - Crédits : Marc Rees (licence : CC by SA 4.0)

« Une avancée fondamentale »

Cette disposition de la loi Lemaire est vue comme « une avancée fondamentale, faisant entrer dans le cyber des honnêtes gens pas identifiés, non des industriels ou des personnes qui portent le costume cravate ».

Un aveu : l’ANSSI ne sait pas ce que cet aspirateur va représenter en volume. Une fois le texte promulgué, il sera en tout cas possible de signaler des failles de manière anonyme. Pour les autres, l’agence aura l’obligation de préserver la confidentialité des identités et dans toutes les hypothèses, les conditions dans lesquelles la transmission d’informations a été effectuée. Plus ambitieux encore : le Code de la défense l'autorisera à caractériser le risque ou la menace mais uniquement « aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information ». 

 « Nous nous contenterons de vérifier que la porte béante est vraiment béante, par exemple un FTP sans mot de passe ». Il faudra qu'elle le soit vraiment : « Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif ». Un guide est attendu afin d’accompagner ce dispositif, « S’improviser chevalier blanc, ce n'est pas tout ! ».

Rappelons cependant, que la personne qui alerte ce point de contact pourra toujours être poursuivie par la victime prétendue. Un amendement qui visait à les exempter de poursuites a été rejeté lors des débats sur le projet de loi relatif au numérique. 

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La loi Lemaire et les nouvelles compétences de l’ANSSI

« Une avancée fondamentale »

Commentaires (12)




Face à ces hackers, « certains voient de dangereux acteurs, moi j’y vois plutôt des citoyens outrés par ce qu’ils voient » a commenté Guillaume Poupard







Cette disposition de la loi Lemaire est vue comme « une avancée fondamentale, faisant entrer dans le cyber des honnêtes gens pas identifiés, non des industriels ou des personnes qui portent le costume cravate ».





le truc hallucinant c’est qu’on pèterait presque le champagne après des années de réactions totalement iniques, alors que c’est du pur bon sens.


Sauf que pour remonter une faille, à par prouver que c’est dans le plus grand des hasards et dans un usage “standard” des services… il faut y jeter un oeil.

 

Et l’affaire Bluetouff est là pour nous rappeler qu’une démarche “active” est condamnée, même ultra basique techniquement.




« Un FTP dont le mot de passe sera « toto » ne rentra pas dans le dispositif »





Pourtant, “toto” ne correspond pas aux recommandations de l’ANSSI pour un mot de passe bien sécurisé…








eres a écrit :



 

Et l’affaire Bluetouff est là pour nous rappeler qu’une démarche “active” est condamnée, même ultra basique techniquement.





Puisque tu en parles, il est relaxé <img data-src=" />



La sécurité de l’autruche :

Mon système est beau et super secure. Hé ! là toi ! Pourquoi dis-tu qu’il y a une faille? Tu le dis qu’à moi? Et bien pour ta peine je t’attaque en justice et tu vas aller croupir en prison.



Cela me fait penser à des époques plus ou moins lointaines et à d’autre totalitaire ! Au fond rien n’a changé !






  • Rappelons cependant, que la personne qui alerte&nbsp;ce point de contact pourra toujours être poursuivie par la victime prétendue.&nbsp;Un amendement&nbsp;qui visait à les exempter de poursuites a été rejeté lors&nbsp;des débats sur le projet de loi relatif au&nbsp;numérique.



    C’est quand même le problème majeur. A part lire sur un forum que quelqu’un à trouver une faille sur un site, je ne vois pas comment trouver une faille sans être poursuivi par le site.Quid de l’anonymat si l’ANSI doit fournir les informations pour les poursuites de la victime. <img data-src=" />


Non mais à priori l’ANSSI ne fait et ne fera rien pour poursuivre (suffit de lire ce que dit Poupard)

Et étant donné que c’est l’ANSSI qui lui signale la faille de sécu, à mon avis la boite en face fermera sa gueule.

Il reste effectivement la possibilité pour la boîte en question de poursuivre, mais bon, quand l’ANSSI te signale une faille, faut vraiment être con pour aller chercher la petite bête.



A mon avis en pratique ça va quand même vachement réduire les poursuites, voire même les faire disparaître.


Bluetouff cherchait pas des failles, il cherchait des docs en accès public sur Google.


La faille n’est pas forcément ce que tu cherches mais ce que tu “trouves”…&nbsp;


Il faut espérer. Ce serait une bonne chose.


c’est pas ce qu’on peut appeler une démarche active, et c’est un usage standard d’un moteur de recherche public. ^^








StephaneGames a écrit :



[list][*] Rappelons cependant, que la personne qui alerte ce point de contact pourra toujours être poursuivie par la victime prétendue. (…) C’est quand même le problème majeur. A part lire sur un forum que quelqu’un à trouver une faille sur un site, je ne vois pas comment trouver une faille sans être poursuivi par le site.Quid de l’anonymat si l’ANSI doit fournir les informations pour les poursuites de la victime. <img data-src=" />





Oui et non.

Pour qu’elle t’attaques en justice, il faut déjà que l’entreprise te prenne la main dans le panier. Cad que tu as fait des tests suffisamment graves pour être visibles. Tester une injection SQL avec un droptable n’est pas une méthode constructive, même si effectivement, être sensibles à une injection, c’est super-sale.

Ensuite, elle ne va t’attaquer en justice que s’il y a préjudice. Cad si tu as cassé quelque chose, ou éventuellement (si elle n’a jamais entendu parler de Streissland) si tu as communiqué sur sa faille. Ce n’est pas vraiment la cible de ce système de signalement, puisqu’il est conçu pour signaler les failles sans se faire connaitre.







hellmut a écrit :



Bluetouff cherchait pas des failles, il cherchait des docs en accès public sur Google.





Ce qui lui a été reproché n’est pas d’avoir trouvé un doc sur google, mais le téléchargement systématique de tout ce qui était accessible. Ce qui forcément, rend un peu plus dure à croire la version selon laquelle il pensait que c’était fait normal que ce soit accessible à tous.