ANSSI : les récentes attaques par défiguration étaient de faible niveau

ANSSI : les récentes attaques par défiguration étaient de faible niveau

Compte rendu de la conférence de presse au FIC 2015

Avatar de l'auteur
Marc Rees

Publié dans

Droit

24/01/2015 8 minutes
16

ANSSI : les récentes attaques par défiguration étaient de faible niveau

Lors de l’édition 2015 du forum international sur la cybersécurité à Lille, Guillaume Poupard a dressé un état des lieux de l’action de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). L’occasion pour revenir sur plusieurs points d’actualité.

400 personnes dans les rangs de l’ANSSI

Lors du Forum international sur la cyber sécurité, le directeur général de l’ANSSI s’est félicité que son agence disposait désormais d’une force de 400 personnes. Ce chiffre « montre la confiance qui nous est faite de la part des autorités en terme de possibilités d’embauche » commente l’intéressé, assurant que l’agence « est capable de trouver des gens très compétents, très motivés ».

Sur ce terrain, il rejette tout procès en assèchement du marché de l’emploi, une critique parfois entendue. « Ma priorité est d’avoir des gens capables de répondre à des enjeux de très haut niveau. Nous n’avons pas de compétition malsaine avec les différentes industries. Quelqu’un qui vient à l’ANSSI n’a pas vocation à y rester 25 ans, même s’il elle le peut. On prend les gens en sortie d’école, on les forme. Si ensuite ils partent chez les cyberindustriels qu’on veut développer en France, pour moi ce n’est pas un échec, bien au contraire ! »

La mise en œuvre de la loi de programmation militaire

L’actualité de l’ANSSI s’oriente surtout sur la mise en œuvre de la loi de programmation militaire. « Nous sommes à fond sur ce texte, notamment l’article 22 qui définit les conditions de protection des opérateurs d’infrastructures vitales (OIV). Une priorité majeure ». Les OIV concernent l’énergie, les télécoms et la finance notamment, bref autant de « domaines où on ne peut pas se permettre d’avoir des attaques majeures que ce soit en terme de renseignement ou de sabotage. »

Les décrets d’application concernant ces dispositions sont désormais dans la boucle. Une réunion interministérielle a eu lieu lundi pour les finaliser et ils prennent désormais la voie du Conseil d’État pour une analyse de légalité. Ensuite viendra leur publication au Journal officiel.

Aiguiller les acteurs via la labellisation

Deux décrets sont spécialement concernés, l’un sur la protection des OIV, l’autre sur la qualification de produits et de prestataires de services. Et pour cause, l’ANSSI publie depuis des mois des référentiels dans différentes thématiques, notamment sur celles des prestataires d’audit et de contrôle.

L’objectif est de signaler aux acteurs les prestataires de confiance via un processus de labellisation. « Celui qui a les plus beaux PowerPoint n’est pas forcément un gage de sécurité ! » tacle Poupard. La démarche pourrait irriguer à terme les règles imposées aux OIV, toujours avec la volonté de gagner des crans de sécurité.

« Nous avons déjà reçu des candidatures d’industriels qui veulent être labellisés » assure le directeur de l’ANSSI. Ces demandes déposées donnent lieu ensuite à une phase d’évaluation des personnes et des structures concernées, qui a déjà été menée pour les PASSI (prestataires d’audit en sécurité des systèmes d’information). « Notre objectif n’est pas de faire un classement, mais de dire qu’au nom du premier ministre, on s’engage sur la confiance dans la qualité de leurs  travaux. »

D’autres domaines seront encore concernés par cet écrémage : la détection des incidents de sécurité (via des sondes pour détecter des comportements anormaux dans le trafic internet), la réaction aux incidents (« réagir à une attaque ne consiste pas à réinstaller un OS »), le cloud enfin. « Certains veulent nous faire croire que le cloud passe par deux ou trois acteurs mondiaux, et que le reste n’existe pas. C’est totalement faux. Nous avons des acteurs en France et en Europe, des petits et des grands, qui se distinguent de la qualité apportée ».

Là encore, un référentiel permettra de distinguer les prestataires dignes de ce nom, et en creux, les autres. « L’enjeu est d’éviter de demander à chaque client de devenir un expert du cloud pour trouver le bon prestataire ». Bref, l’ANSSI veut jouer un rôle de plateforme d’orientation, mais également de « redynamisation de la cyberindustrie », comptant sur l’effet vertueux de ce processus.

Pas de revendication forte en termes d’évolution législative

Alors que la période est source d’intense imagination législative, en ce mois de janvier trop sanglant, l’ANSSI est elle-même demandeuse de nouvelles dispositions juridiques ?

Guillaume Pourpard répond à notre question par la négative : « Je vous avouerai très franchement que nous, tel le boa, on digère la LPM. On avait vraiment des besoins et ces besoins ont été entendus par les parlementaires avec les cinq articles de la LPM qui nous concernent. Mettons ça en œuvre proprement, ça sera déjà un pas énorme et placera la France clairement dans les pays de tête en terme de cybersécurité. »

Dans les 15 derniers jours, des attaques de faible niveau

Ces 15 derniers jours, la France a aussi connu une vague d’attaques par défacement. Qu’en dit l’agence justement ? « On a eu une augmentation du nombre de défigurations des sites internet, mais cette augmentation n’est pas hors de proportions de ce qu’on connait. Cela s’est déjà produit plusieurs fois. Là, c’est très ciblé et je ne veux pas du tout polémiquer sur le chiffre » (voir sur le sujet notre dernier 14h42).

Rapidement, il a été évoqué dans la presse le nombre de 20 000 sites défigurés, alors que le ministère de l’Intérieur a finalement fait part de 1300 attaques lors du FIC. « Parfois une seule attaque permet de défigurer plusieurs dizaines voire centaines de pages. Quand on se met à compter les pages, c’est clairement à l’avantage des attaquants » temporise Poupard qui relativise aussi la profondeur de ces piratages : « ce sont des attaques de faible niveau technique, elles touchent des sites qui sont peu sécurisés, des sites d’écoles, de communes, de petites organisations, certes parfois emblématiques comme le Mémorial de Caen. Techniquement, pour nous, cela reste de faible importance », avec des techniques d’attaques bien connues et bien documentées.

Pour autant l’ANSSI reste en état d’alerte, « pas à cause de ces sites web, mais en raison du climat ambiant et éviter de se faire surprendre ». En effet, « il ne faudrait pas que ces attaques de faible impact opérationnel soient finalement là pour nous détourner d’attaques beaucoup plus discrètes, mais beaucoup plus graves d’exfiltration de données, de piégeages de systèmes industriels, d’OIV ». Rien de tel n’a été observé sur ses cadrans, dans cette foulée.

Autre chose, « ce qu’on observe est de faible niveau, mais cela peut provenir d’une économie de moyens. Si avec de faibles moyens, ça passe, il serait stupide d’afficher des compétences plus élevées et de griller quelque part des moyens d’action plus sensibles ». Une certitude : ces vagues ont mis en lumière les faiblesses de ces sites impactés au regard de vulnérabilités bien connues. « Il y a plein d’erreurs à ne pas faire, il faut des prestataires compétents, et tous ne le sont pas ! »

Interdire la cryptographie ? Préhistorique et passéiste

Enfin, Guillaume Poupard voit d’un œil prudent les revendications entendues ici et là sur la cryptographie. « Le débat qui consiste à se demander s’il faut autoriser la cryptographie n’est pas neuf. On l’a eu en France il y a 20 ans. Nous étions arrivés alors à la conclusion que chercher à interdire la cryptographie c’était totalement passéiste et préhistorique. Je ne vois pas pourquoi cela deviendrait aujourd’hui une bonne idée alors que la cryptographie est partout ! »

Pour mieux cibler ses propos, son idée est que « la sécurité ne doit pas venir en opposition avec la sécurité elle-même ». Plus clairement, « la sécurité de bout en bout, oui et non. Aujourd’hui les télécommunications électroniques doivent pouvoir être interceptées sur réquisition judiciaire ou pour des raisons de sécurité, en étant encadrées par la loi. À un moment, il faut être capable de déchiffrer, mais ce n’est pas parce qu’il faut pouvoir accéder à ces données en clair que tout doit passer en clair. Le mal ce n’est pas la cryptographie, mais l’usage qu’on peut en faire. Il y a un besoin de cadrage. Je pousse pour ma part à développer un usage raisonné de ces techniques de chiffrement. Il ne faut pas chercher à interdire ce qu’on ne peut pas interdire. »

16

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

400 personnes dans les rangs de l’ANSSI

La mise en œuvre de la loi de programmation militaire

Aiguiller les acteurs via la labellisation

Pas de revendication forte en termes d’évolution législative

Dans les 15 derniers jours, des attaques de faible niveau

Interdire la cryptographie ? Préhistorique et passéiste

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (16)


De faible niveau, mais défacé quand même… <img data-src=" />








Ricard a écrit :



De faible niveau, mais defiguré quand même… <img data-src=" />





<img data-src=" />



Les scripts kiddies ça a toujours existé, que ça soit des petits américains en mal de reconnaissance, ou des djihadistes… en mal de beaucoup de choses.



Ce qui a changé, c’est l’énorme couverture qu’ils ont reçu dans les médias (chiffres délirants annoncés) et les réseau sociaux (la rumeurs d’attaque généralisé contre les banques s’est répandu de façon délirante &nbsp;les gens sont vraiment paniqués par l’informatique, et ce à tous les ages…).








Bejarid a écrit :



Les scripts kiddies ça a toujours existé, que ça soit des petits américains en mal de reconnaissance, ou des djihadistes… en mal de beaucoup de choses.



Ce qui a changé, c’est l’énorme couverture qu’ils ont reçu dans les médias (chiffres délirants annoncés) et les réseau sociaux (la rumeurs d’attaque généralisé contre les banques s’est répandu de façon délirante &nbsp;les gens sont vraiment paniqués par l’informatique, et ce à tous les ages…).





Tant mieux. Ca me fera plus de clients. <img data-src=" />



«&nbsp;la sécurité de bout en bout, oui et non. Aujourd’hui les

télécommunications électroniques doivent pouvoir être interceptées sur

réquisition judiciaire ou pour des raisons de sécurité, en étant

encadrées par la loi. À un moment, il faut être capable de déchiffrer,

mais ce n’est pas parce qu’il faut pouvoir accéder à ces données en

clair que tout doit passer en clair. Le mal ce n’est pas la

cryptographie, mais l’usage qu’on peut en faire. Il y a un besoin de

cadrage. Je pousse pour ma part à développer un usage raisonné de ces

techniques de chiffrement. Il ne faut pas chercher à interdire ce qu’on

ne peut pas interdire.&nbsp;»



Si quelqu’un a une idée de ce qu’il veut dire par là. Dois-je arrêter d’utiliser ssl, pgp, textsecure et redphone pour leur permettre d’intercepter ? Ou veulent-ils me mettre hors-la loi car par défaut les clés utilisées par ces différents programmes sont trop longues ?


Parce que pour faire le lien avec cette actualité sur les capacités de la NSA en décryptage en 2012, si l’ANSSI d’aujourd’hui est dans le même cas, à part utiliser skype, je ne sais pas ce que nous avons le droit d’utiliser pour qu’ils puissent avoir accès aux communications.


Si tu peux continuer mais faut envoyer par courrier les clefs au Quai d’Orsay à l’attention du chiffre. <img data-src=" />



Je pense qu’il préfère un statu quo sur la situation actuelle. Il ne faudrait pas que le législateur interdise la crypto, ce serait se tirer une balle dans le pied géo-politiquement, ni l’obliger totalement de bout en bout, il ne pourrait plus travailler.

Avec les champions en informatique qui nous dirigent, on peut s’attendre à tout.


Les tablettes livrées aux élèves de cinquième seront fournies avec Truecrypt pour s’assurer que les profs ne viennent pas regarder les vidéos ajoutées sur la tablette par ces charmants bambins <img data-src=" />


Ceci dit, n’étant pas à l’étranger, je ne vois pas pourquoi je fournirais mes clés au Quai d’Orsay. La DCRI pourrait être intéressée par contre.



DCRI Poke !



—–BEGIN PGP PUBLIC KEY BLOCK—–

Version: SKS 1.1.4

Comment: Hostname: pgp.mit.edu



mQENBFHNW3ABCADlpZ2irOIWhBW6S8CJbGExR5GYWuhy0tqgSxMUJuNGWqIkGSC2bBrptLcp

IwRXM0FaiXK31ZjJonXo9o39sPY/PHV89jX+skMKKc+XwFmU7976/eT/elQzAaoo475a9hRs

=VCvf

—–END PGP PUBLIC KEY BLOCK—–



Je l’ai un peu raccourcie, sinon je prenais deux fois la hauteur de mon écran (en mode portrait pourtant <img data-src=" /> )


A l’heure actuelle, la frontière entre intérieur et extérieur est bien mince et poreuse . <img data-src=" />



(me rattrape comme je peux <img data-src=" />)


J’ai toujours le même sentiment face aux déclarations/recommandations/actions de l’ANSSI : beaucoup de parole et rien de concret.





  • L’attaque de sites WEB d’école/Commune/[site non stratégique et opérationnel]… n’est qu’anecdotique, on peut même se demander pourquoi c’est simplement mentionné, sinon pour bien rester dans un climat de peur aux conséquences potentiellement délétères sur nos libertés.

  • la labellisation de sécurité est au mieux un gadget sans intérêt qui aura le même effet que la labellisation dans le domaine énergétique… au pire un outil qui pourrait porter atteinte aux libertés publiques et individuelles.

  • la sécurisation des OIV est la seule chose tangible dans les tuyaux, mais entre le manque de moyens et l’inertie du pouvoir réglementaire, rien ne bouge alors que certaines demandes sont urgentissimes (et sans rapport aucun avec les grandes oreilles ou une volonté d’atteintes aux libertés).



    Cependant, il faut admettre qu’il est parfaitement lucide sur la situation: “Mettons ça en œuvre proprement, ça sera déjà un pas énorme”.








kras a écrit :



Tu m’étonnes que c’est de faible niveau.



Il suffit d’envoyer un mail à des journaleux du Monde pour qu’il clique sur le lien dedans et entrent leur mot de passe sur un faux site. C’est comme ça que les pirates ont eu les mots de passe. Du simple phishing.





Ça a toujours marché et ça marchera toujours. Qu’on soit “du Monde” ou pas, d’ailleurs.



En effet… Le 12 mai 2014, la maison a changé de nom. My bad, je n’avais pas fait attention à ce rebranding. Maintenant ils s’occupent de sécurité, plus juste de renseignement. Cela me la rend tout de suite plus sympathique <img data-src=" />


En attendant l’ANSSI a publié un guide de protection de site web et sa feuille de route du plan cybersec 2015.

C’est malheureusement très haut niveau (pas niveau compétence hein) et il aurait été plus simple de dire “mangez de l’OWASP matin, midi et soir&nbsp;<img data-src=" />”