Hervé Schauer est pionnier en France de la sécurité informatique avec la publication en 1987 d'une série d'articles sur la sécurité. En 1991, il est pionnier de l'internet avec l'invention du relayage applicatif (proxy firewall), en 1992 la création de la hiérarchie de news fr.*, et en 1996 la fondation de l'AUI et du chapitre français de l'ISOC. Hervé Schauer dirige depuis 1989 la société HSC www.hsc.fr, seul leader indépendant en France dans les domaines d'expertise technique en sécurité. Il intervient en Algérie régulièrement depuis 1992 par des conférences et formations en sécurité. Hervé Schauer publie régulièrement et a des responsabilités dans de nombreuses associations, il anime notamment depuis 1989 le groupe Sécurité Unix et Réseaux de l'OSSIR www.ossir.org.
Sujet: Sécurité Informatique - 05/06/2004
1- L’intérêt des entreprises à sécuriser leurs systèmes et réseaux prend de plus en plus d’ampleur, est ce une prise de conscience ou est ce que ces entreprises subissent plus d’attaques ?
M. H.Schauer: La situation me semble disparate. Il y a des entreprises qui viennent à la sécurité, mais pas toutes. Ce qui me semble souhaitable, c'est que toutes les entreprises qui construisent leur réseau comme c'est le cas de beaucoup en Algérie, intègrent les besoins de sécurité dès le départ,et se donnent les moyens pour bien implanter la sécurité dans les boitiers réseau en s'organisant, sans investir dans du matériel ou des logiciels inutiles. Celles qui sont déjà en réseau se réveillent parfois lorsque leur serveur web est défiguré, c'est classique de penser à la sécurité après avoir été victime d'un incident.
M. H.Schauer: La situation me semble disparate. Il y a des entreprises qui viennent à la sécurité, mais pas toutes. Ce qui me semble souhaitable, c'est que toutes les entreprises qui construisent leur réseau comme c'est le cas de beaucoup en Algérie, intègrent les besoins de sécurité dès le départ,et se donnent les moyens pour bien implanter la sécurité dans les boitiers réseau en s'organisant, sans investir dans du matériel ou des logiciels inutiles. Celles qui sont déjà en réseau se réveillent parfois lorsque leur serveur web est défiguré, c'est classique de penser à la sécurité après avoir été victime d'un incident.
2- Lorsqu’on parle de sécurité, on pense obligatoirement au système d’exploitation adopté, si l’on se rapporte à l’Algérie, une majorité de machines sont sous Windows. Cependant, On a souvent tendance à qualifier Linux de plus sûr que Windows ? Qu’en pensez-vous ?
M. H.Schauer: Le meilleur système est celui qui répond à ses besoins, à la fois en terme de service que de sécurité, et le système le plus sûr est celui qui sera le mieux géré. Ce qu'il faut éviter sont : la monoculture informatique,les systèmes configurés par défaut ou mal gérés, et aussi l'utilisation inappropriée d'un système d'exploitation. Je pense que pour améliorer la situation en Algérie il faut promouvoir les logiciels libres et la formation à Linux, Apache et OpenOffice, à l'administration système et réseaux et la formation en sécurité, afin de donner aux gens les capacités de choix qu'ils n'ont pas.
M. H.Schauer: Le meilleur système est celui qui répond à ses besoins, à la fois en terme de service que de sécurité, et le système le plus sûr est celui qui sera le mieux géré. Ce qu'il faut éviter sont : la monoculture informatique,les systèmes configurés par défaut ou mal gérés, et aussi l'utilisation inappropriée d'un système d'exploitation. Je pense que pour améliorer la situation en Algérie il faut promouvoir les logiciels libres et la formation à Linux, Apache et OpenOffice, à l'administration système et réseaux et la formation en sécurité, afin de donner aux gens les capacités de choix qu'ils n'ont pas.
3- Quel est votre avis sur la multiplication des failles découvertes dans les composants de Linux?
M. H.Schauer: En quoi il y a une telle multiplication ? J'utilise Linux sur mon poste de travail et le seul logiciel qu'il faut mettre à jour régulièrement est le logiciel anti-spam SpamAssassin. Je n'applique jamais de correctifs de sécurité dans mes butineurs ou mon firewall intégré, alors que mon assistante est contrainte à des tas de mises à jour permanentes.Pour ma part je reste très impressionné de la quantité d'erreurs de programmation en général dans les applications, et surtout la quantité impressionnante d'erreurs de sécurité corrigées silencieusement par les éditeurs de logiciels propriétaire. Dans un correctif donné, il y a parfois plus de 10 trous de sécurité distincts corrigé sans que cela soit indiquénul part. L'avantage de Linux est que chacun peut tout voir et tout savoirsans fausse multiplication ni soustraction silencieuse.
M. H.Schauer: En quoi il y a une telle multiplication ? J'utilise Linux sur mon poste de travail et le seul logiciel qu'il faut mettre à jour régulièrement est le logiciel anti-spam SpamAssassin. Je n'applique jamais de correctifs de sécurité dans mes butineurs ou mon firewall intégré, alors que mon assistante est contrainte à des tas de mises à jour permanentes.Pour ma part je reste très impressionné de la quantité d'erreurs de programmation en général dans les applications, et surtout la quantité impressionnante d'erreurs de sécurité corrigées silencieusement par les éditeurs de logiciels propriétaire. Dans un correctif donné, il y a parfois plus de 10 trous de sécurité distincts corrigé sans que cela soit indiquénul part. L'avantage de Linux est que chacun peut tout voir et tout savoirsans fausse multiplication ni soustraction silencieuse.
4- En tant qu'expert en sécurité, comment analysez-vous l'évolution actuelle des attaques virales et comment envisagez-vous le futur ?
M. H.Schauer: Au delà des attaques virales se sont les infrastructures informatiques sur lesquelles reposent la société en général qui sont très fragiles. La cybercriminalité n'en est qu'à ses débuts aux USA ou en Chine avec les virus moteurs de spam et les chantages aux dénis de service. L'uniformité de l'informatique dans les PCs, les routeurs ou les logiciels de messagerie rend très propice aux attaques virales, donc je pense que nous n'avons encore rien vu.
M. H.Schauer: Au delà des attaques virales se sont les infrastructures informatiques sur lesquelles reposent la société en général qui sont très fragiles. La cybercriminalité n'en est qu'à ses débuts aux USA ou en Chine avec les virus moteurs de spam et les chantages aux dénis de service. L'uniformité de l'informatique dans les PCs, les routeurs ou les logiciels de messagerie rend très propice aux attaques virales, donc je pense que nous n'avons encore rien vu.
5- En ce qui concerne le ver Sasser, le temps entre la découverte d'une vulnérabilité et son exploitation par un code automatisé n'a jamais été aussi court. Cette tendance va t elle se poursuivre ? Quels sont selon vous les éléments ayant favorisé cela ?
M. H.Schauer: Les auteurs de ver ne sont pas encore des professionnels, pour preuve rares sont les vers avec une charge utile, et pour qu'un ver ait du succès, il faut qu'il marche de manière identique sur un grand nombre de systèmes. Quand il faut programmer l'exploitation de la faille légèrement différemment d'une version à l'autre du système ou d'un service pack à l'autre, les auteurs de vers sont trop fainéants pour le programmer. Je pense donc que les délais sont simplement dus au fait que les auteurs font ça par hasard ou pour jouer. Si un jour il y a des attaquants professionnels, les vers se répandront en quelques minutes alors qu'aucun correctif de sécurité ne soit encore disponible.
M. H.Schauer: Les auteurs de ver ne sont pas encore des professionnels, pour preuve rares sont les vers avec une charge utile, et pour qu'un ver ait du succès, il faut qu'il marche de manière identique sur un grand nombre de systèmes. Quand il faut programmer l'exploitation de la faille légèrement différemment d'une version à l'autre du système ou d'un service pack à l'autre, les auteurs de vers sont trop fainéants pour le programmer. Je pense donc que les délais sont simplement dus au fait que les auteurs font ça par hasard ou pour jouer. Si un jour il y a des attaquants professionnels, les vers se répandront en quelques minutes alors qu'aucun correctif de sécurité ne soit encore disponible.
6- Quels sont les conseils à donner pour éviter les problèmes de sécurité posés par la découverte de telles failles ?
M. H.Schauer: Les organismes doivent s'organiser, appliquer l'anti-virus sur tous les protocoles sans exception, puis en cas d'attaque, quand les anti-virus sur son périmètre sont bien mis à jour, se prémunir des risques apportés par les nomades, en les faisant passer dans une cellule de décontamination et en les informant par exemple en SMS qu'ils ne doivent pas se connecter au réseau privé car leur ordinateur n'es pas à jour et a peut-être été contaminé par internet.
M. H.Schauer: Les organismes doivent s'organiser, appliquer l'anti-virus sur tous les protocoles sans exception, puis en cas d'attaque, quand les anti-virus sur son périmètre sont bien mis à jour, se prémunir des risques apportés par les nomades, en les faisant passer dans une cellule de décontamination et en les informant par exemple en SMS qu'ils ne doivent pas se connecter au réseau privé car leur ordinateur n'es pas à jour et a peut-être été contaminé par internet.
7- nous aimerions aussi revenir sur le spam qui fait désormais partie de notre quotidien. Il pollue nos boites e-mail et La lutte contre le spam est sûrement le sujet le plus en vogue aujourd'hui en matière de sécurité chez les géants de l'IT tels que Microsoft, Sendmail. Quel est votre avis ?
M. H.Schauer: Le spam ne mets pas en cause la sécurité du système d'information, il met en cause la productivité apportée par la messagerie électronique. Le spam existe car d'une part il est économiquement très rentable, et d'autre part les états ne font rien pour l'éviter. Le problème n'est pas spécifique au courrier électronique, je subis des appels téléphoniques non-sollicités régulièrement, je n'ai aucun moyen de m'en prémunir. Pour lutter contre le le spam j'utilise le filtrage de Postfix et SpamAssassin. Il reste après cela 100 à 200 spams par jour à éliminer manuellement contre 2 à 3 fois plus au départ, cela reste gérable. J'utilise également des adresses électroniques jetables quand je dois donner mon adresse. Pour lutter efficacement, ce sont aux états de réguler pour interdire le spam; et éviter que des entreprises monopolistiques exploite à leur profit l'exaspération des utilisateurs par un modèle où le courriel serait facturé à l’émetteur.
M. H.Schauer: Le spam ne mets pas en cause la sécurité du système d'information, il met en cause la productivité apportée par la messagerie électronique. Le spam existe car d'une part il est économiquement très rentable, et d'autre part les états ne font rien pour l'éviter. Le problème n'est pas spécifique au courrier électronique, je subis des appels téléphoniques non-sollicités régulièrement, je n'ai aucun moyen de m'en prémunir. Pour lutter contre le le spam j'utilise le filtrage de Postfix et SpamAssassin. Il reste après cela 100 à 200 spams par jour à éliminer manuellement contre 2 à 3 fois plus au départ, cela reste gérable. J'utilise également des adresses électroniques jetables quand je dois donner mon adresse. Pour lutter efficacement, ce sont aux états de réguler pour interdire le spam; et éviter que des entreprises monopolistiques exploite à leur profit l'exaspération des utilisateurs par un modèle où le courriel serait facturé à l’émetteur.
8- En conclusion, avez-vous les premières règles de base de sécurité qu’une entreprise doit implémenter pour réduire les risques d’attaques ?
M. H.Schauer: Je pense qu'il faut se former et s'organiser, afin d'intégrer la sécurité dans les projets et les décisions faites au quotidien dans son métier. Les ingénieurs devraient bien penser que la sécurité se fait d'abord par eux-mêmes, par leur rigueur et leur intelligence qui donneront une bonne organisation, de bons choix informatiques, et une utilisation en toute sécurité de ce qui est déjà disponible, et pas en achetant un produit pour montrer que l'on a fait quelque chose auprès du chef.
M. H.Schauer: Je pense qu'il faut se former et s'organiser, afin d'intégrer la sécurité dans les projets et les décisions faites au quotidien dans son métier. Les ingénieurs devraient bien penser que la sécurité se fait d'abord par eux-mêmes, par leur rigueur et leur intelligence qui donneront une bonne organisation, de bons choix informatiques, et une utilisation en toute sécurité de ce qui est déjà disponible, et pas en achetant un produit pour montrer que l'on a fait quelque chose auprès du chef.
