SSTIC 2013 - Conférence de cloture
Par Ludovic Mé (supélec)
(edit: slides)
Faire face aux cybermenaces => détecter (les attaques) ^ former (des experts en SSI)
Bon bah l’orateur vas nous parler de ce qu’il fait depuis 20 ans, et bien que le titre ne lui plaise pas il va parler quand même. Il n’aime pas les cyber machins et cyber-trucs. Bon en gros, c’est sa lecture du livre Blanc.
A sa grande surprise, presque personne n’a parlé du livre blanc, pourtant il nous caresse dans le sens du poil, et c’est une menace majeure à forte probabilité. Ca sent la prise d’empreinte préalable à une attaque de grande envergure, en tout cas c’est l’hypothèse faite dans le livre blanc. Aujourd’hui dans la stratégie de défense nationale, la cyberattaque sera placée au même niveau d’une attaque physique… enfin faut pas exagérer pas sûr que ça soit vraiment comparable, mais c’est mis sur le même plan par le livre.
Il faut donc se protéger, c’est primordial, mais ce qui ressort vachement de la lecture du livre blanc, c’est la capacité de détection des attaques et d’identification de leurs auteurs. Vient la problématique de production de produits de détection autonomes et dont l’origine est de confiance.
D’ou la création d’une chair cyberdéfense, l’implem de standards industriels de sécurité, le soutient de l’état des compétences scientifiques « performantes ». Il faut espérer qu’on le soit. La cyber-réserve c’est vous les gars, et en plus vous serez obligé de le faire à titre gracieux (le beurre, l’argent du beurre et … ). Ce qui serait bien aussi c’est d’intégrer de l’informatique dans toutes les formations en sécurité !
Coté offensif, la riposte doit se faire dans le cadre d’une légitime défense, et donc elle doit se faire dans le cadre d’une menace pour la survie de l’état. Ce n’est pas un scan de ports qui va menacer la survie d’un état… la cyber riposte n’est pas très très claire…
Par contre il est très clair que l’enseignement de l’attaque à des fins d’apprentissage et de bonne configuration du matos de détection, c’est autant de portes ouvertes pour notre communauté.
Et donc vu l’importance de tout ça, l’orateur va donc nous parler de détection d’intrusion et de formation.
L’architecture de détection d’intrusion c’est archi-classique et connu, sonde, agent, correllation et gestion des alertes. Et donc à l’analyse on cherche à évaluer la pertinence et la fiabilité de nos alertes. Bon dans la réalité on arrive pas à avoir des taux de faux-positifs corrects. Et donc pour se rapprocher de l’idéal, il y a une technique. L’administrateur de sécurité lui, il veut savoir si sont alerte est vraie ou pas. Or quand on fait des stats, il y a tellement plus d’éléments neutres que d’éléments offensifs, que la probabilité qu’une alerte soit vraie se casse la gueule Dans certaines études on à montré que les alertes sont vraies dans 3% des cas.
Et pour améliorer les choses il faut une détection quasi à 100%, et c’est ultra galère… et donc améliorer la capacité de détection ça sert à rien. Il faut donc améliorer le taux de faux positifs.
Soit on bosse post-analyse en faisant de la corrélation d’alertes. L’ensemble des informations dont on à besoin sont difficile à obtenir, les formats d’alertes bien qu’un standard existe ne sont pas respectés et les produits proprio logguent dans leur format, et puis on à pas d’idée de scénarios d’attaque. Quand à la visualisation des résultats c’est galère.
Comment faire pour produire de meilleurs alertes… et peut être qu’il faudrait sortir du paradigme du NIDS qui marche avec du pattern matching. Développer l’offre des HIDS (bah et ossec?), et comment tenir compte de la politique de sécurité dans le système de détection… ? Améliorer la lisibilité des alertes. S’inspirer de la sureté de fonctionnement pour faire de la détection des fautes qui sont induites par les attaques (cf les travaux d’Eric Totel). Développer des environnements de test d’IDS.
Coté formation:
Bon on forme qui ? à quoi ? : Sensibiliser le grand public, les professionnels, les ingénieurs (pas qu’en info), Former les informaticiens et bien entendu former les experts en SSI. Il faut donc bien les former à la sécurité, domaine pluridisciplinaire. On parle beaucoup du facteur humain, mais on oublie le facteur technique. Il n’y a pas assez de formations techniques. Et pour bien former il faut commencer tôt !
Typiquement les jeunes font de l’informatique sur le tard. L’informatique n’est vue en France que comme un ensemble d’outils. Et tout et n’importe quoi qui se passe sur un « ordinateur » n’est pas de l’Informatique ! ce n’est pas juste l’utilisation, ni la programmation, mais c’est bien plus large que ça. Connaitre le fonctionnement des systèmes semble important. Améliorer la culture de masse reste la base avant de s’attaquer a la formation des experts.
Pour ça faut former les formateurs et c’est galère.
Coté informatique, ça serait bien de commencer plus tôt et qu’un certain nombre de prérequis serons acquis avant la fin de la licence: prog, réseau, architectures systèmes & réseau, C, méthodes formelles. Les prépas on les monte à un niveau en math et physique assez bon, mais on ne fait rien coté dev/info.
Et après en Master c’est là qu’on attaque la sécurité info. Politiques de sécurité, crypto, sécurité des OS, dev propre, sécurité des réseaux, sécurité logicielle, sécurité des application et plus particulièrement le web. Objets de sécurité comme carte à puce, protection des données personnelles, forensic, pentesting, les métiers de la SSI ça en fait des choses à dire en 2 ans (c’est même pas assez). Lute informatique offensive, notion de motif légitime à étendre. Centres de formation adaptés et accompagné d’une formation éthique. Concours réguliers type CTF attaque/défense.