Cyber Security workshop au M.I.T.

Fin octobre, un workshop « cyber sécurité » s’est tenu au Massachussets Institute of Technology, le fameux M.I.T. Voici quelques éléments clés de cette réunion de trois jours. Je ne peux évidemment pas vous donner toutes les informations détaillées puisque certaines informations sont jugées sensibles (même nos badges de participants n’étaient pas autorisés à sortir du bâtiment par exemple !) mais il y a des tendances très intéressantes sur le futur des pratiques de sécurité.

programme et audience de ce Cyber Security workshop 

Je dois confesser que c’est avec surprise que j’ai été contacté pour être un orateur lors d’un workshop organisé par le MIT. Une telle invitation ne se refuse pas, je l’accepte avec fierté. Les sujets sont : « social engineering » and « real life experience of the metrics ». Comme le responsable du MIT qui m'a contacté m’avait bien cerné, il me donne un conseil : ne pas faire de commentaires sarcastiques aux gens de la NSA, ils en entendent assez ces derniers temps. Cela m’apparait un bon conseil, je l’ai suivi. Le conseil n’étant pas applicable à d’autres agences gouvernementales, je ne m’en priverai pas (ben oui on ne se refait pas !).

L’objectif de ce workshop est :

1. identifier des techniques pour rendre le travail des attaquants plus difficile, plus long
2. de pouvoir mesurer cette augmentation du facteur efforts de manière prédictive

Ma première surprise sur le niveau de confidentialité de cette conférence est qu’elle n’est pas visible sur le site du M.I.T. ni du laboratoire de recherche concerné, ni de l’Agence gouvernementale américaine qui finance l’événement d’ailleurs… mais cela est moins surprenant.

Les participants sont :

• évidemment les principales agences gouvernementales américaines ayant trait à la cyber sécurité,
• les laboratoires de recherches des plus prestigieuses universités américaines
• et quelques entreprises étant directement intéressées au secteur. 

Vous l’aurez compris, la conférence n’est pas publique. Petit détail amusant sur le niveau de confidentialité : j’ai demandé à un participant de me prendre en photo lorsque je tenais ma conférence. Disons qu’on lui a fermement indiqué qu’il était interdit de prendre des photos… Dommage, cela aurait fait joli comme photo de CV,  le logo du MIT, le drapeau américain, etc. Tant pis. J

les techniques de défense évoquées

On sentait bien que la neutralité du net est perçue comme un important problème, mais comme le problème est purement politique et en aucun cas technique, il n’a pas été un sujet débattu. Deux grandes tendance ont été abordées : la randomization et la multiplication de processus. On peut résumer ainsi :

Une application sera découpée en de nombreux  morceaux. Chacun compilé avec différentes technologies. Pour exécuter une tâche, le logiciel prendra plusieurs morceaux les uns derrières les autres, les choisissant par hasard. Ainsi, un attaquant qui pourrait faire du reverse engineering sur un morceau puis de le modifier, ne pourra pas avoir la certitude que « son » morceau sera utilisé. Encore mieux : la même tâche sera exécutée en parallèle plusieurs fois (oui, Intel a annoncé le nombre de « core » qu’auront les processeurs dans les années à venir, du coup on ne s’inquiète plus de la puissance de calcul). Si le résultat final est différent, le système sait qu’il a été compromis et commence à chercher lequel des petits morceaux sort un résultat différent.

Une autre technique intéressante étant de remplacer la cible potentielle d’une attaque par une configuration connue sans faille dans un délai tellement court que l’attaquant ne peut pas exécuter quelque chose de négatif pour le défenseur. Cela concerne les serveurs, les composants réseaux, les applications. Toutes les tentatives d’attaques  de Metasploit ont été annihilées par ce système sur un système pourtant non-patché et sans antivirus.

discussion autour des infrastructures critiques

Dans la dernière partie, on a parlé surtout des infrastructures critiques comme la production et distribution d’électricité, eau, etc. Nous avons un état des lieux de la situation et de la difficulté à identifier comment certaines unité de production dépendent d’Internet alors que leurs exploitants sont persuadés que non (!).  J’ai enfin une réponse à la question qui me turlupinait depuis longtemps : pourquoi connecte-on une central de production électrique à Internet ?

Au départ, elle n’est pas connectée. Puis, comme produire de l’électricité nécessite beaucoup de coordination entre les différentes unités de production (voire de pays en Europe, cette fameuse « grille ») les acteurs doivent communiquer des informations en temps réels. Et paf, on commence à utiliser des outils et techniques de communications existantes pour des raisons de coûts. Avec le temps, on ajoute des « fonctionnalités » supplémentaires et on y est : on est devenu dépendant d’Internet. Pourquoi ne pas bâtir un réseau dédié , utiliser les câbles électriques ? Partir de zéro coûterait tellement qu’aucun état n’a les moyens de le faire actuellement... et certainement pour longtemps.

la vision américaine de la cybersécurité : peu d’innovations mais une sacrée puissance de feu

Le tout avait été introduit par les agences gouvernementales américaines qui ont à tour de rôle présenté leur évaluation de la situation actuelle, les attaques auxquelles les États-Unis ont fait face et les études qui vont avec. Pas de surprise, c’est des informations que les professionnels de la sécurité connaissent. Ils ont également parlé de leur plans et visions pour le futur.

Une nouvelle fois, rien de fracassant : les pros savent et les paranos « légers » (et pas les graves) sont dans le juste. Parmi les informations intéressantes, il y a un rapport qui est publique le « APT1: Exposing One of China's Cyber Espionage Units » de Mandiant. Contrairement à certaines idées reçues, il n’y a pas que les chinois qui sont impliqués, mais ce rapport-ci adresse un groupe parmi la vingtaine de groupes recensée impliqués dans les attaques de type APT .

Ensuite, nous avons plus de détails sur des attaques dont les banques et l’industrie militaire américaines ont dû faire face. Cela devient très intéressant sur les techniques utilisées et la « puissance de feu » utilisée. Sans trahir de secret d’Etat, si les attaques sont très intelligentes, ils utilisaient les mots « clever » et « smart », il n’y avait pas de techniques innovantes ou d’un niveau de sophistication fou. Un « script kiddie » avec de la puissance de calcul le fait aussi. Dans ce contexte, il est bon de rappeler la carte interactive des attaques DDOS fournie par Arbor et Google disponible sur www.digitalattackmap.com

Dans mes prochains blogs, je vous parlerai des deux sujets que j’ai présenté au cours de ce workshop : les métriques de sécurité et le social engineering.

Johny