Interviews |
|
Anthony C. Zboralski
|
Président
et CEO |
Vauban
Systems
|
"Quand
nous sécurisons une entreprise, nous développons des scénarios
techniques mais aussi humains" |
|
Dresser le parcours d'Anthony
Chris Zboralski, "hacker médiatique"
au milieu des années 90 n'est pas tâche
facile. A l'époque, celui dont le pseudonyme
était Frantic se fait dresser le portrait sur
la couverture de Libération lors de la découverte
de son "exploit" (le détournement des
lignes du FBI) en 1994, puis nommer personnage de l'année
en 1995 par le journal Le Monde, avant d'être
cité deux ans plus tard par le news-magazine
Le Point alors qu'il
avait déjà tourné le dos à
ses activités illicites.
Aujourd'hui, ACZ dirige le prestataire de pointe en
sécurité informatique Vauban
Systems depuis son siège en Indonésie,
un endroit où il fait bon vivre et où
la main d'oeuvre qualifiée est meilleur marché.
Prévoyant de réaliser 1,5 millions
de dollars de CA sur ce seul pays en 2002, où
ses clients sont surtout des banques, des institutions
financières et des gouvernements de l'état
fédéral, la société sert
aussi les intérêts d'entreprises en France
où elle prévoit de s'implanter prochainement.
Pour mieux appréhender les problématiques
de sécurité des systèmes d'informations,
ne cherchez pas ailleurs. Ou plutôt si, puisque
l'expert conseille de s'informer, et de tenir compte
des véritables enjeux de ce phénomène
complexe.
Lire
la deuxième partie de l'interview: état
des lieux
|
Propos recueillis par
François Morel le 29
octobre 2001
. |
JDNet
Solutions: quels
sont les faits qui vous ont été reprochés
autrefois, lorsque vous étiez plus connu en tant
que hacker sous le pseudonyme Frantic ?
Anthony C. Zboralski:
Il s'agissait
d'intrusion de systèmes automatisés de données.
C'était en 1994, et le plaignant était le
FBI. J'ai bêta-testé la loi Godfrain et dans
le LAMI Informatique, la jurisprudence porte le nom "Zboralski-FBI".
Comment
entamez-vous votre reconversion ? Avez-vous rencontré
des difficultés, et lesquelles ?
Non, aucune difficulté.
Au contraire, toutes les portes se sont ouvertes.
Qu'est-ce qui vous a motivé,
vous et vos associés, à fonder Vauban Systems
en Indonésie ? Et quelle est sa principale activité
?
J'ai
été consultant indépendant, puis
directeur de recherche jusqu'à novembre 2000. David
Nataf m'a présenté mattieu Cavalié, qui était broker en
bourse et m'a invité à le rejoindre. Nous
avons décidé ensemble de développer
Vauban Systems et de démarrer un vrai business
model. Or, nous avons constaté un réel potentiel
de développement en Asie pour la sécurité
informatique, et c'est ainsi que nous avons commencé
à servir des clients en France depuis l'Asie.
Pour cela, nous avons développé une approche
intéressante par rapport à la sécurité.
Nous ne vendons pas de la sécurité comme
une suite de solutions logicielles, mais comme un ensemble
de solutions techniques et non techniques. Notre méthodologie
se décline en un cycle de vie qui comporte quatre
étapes: la stratégie, l'analyse, l'implémentation
et le service continu.
La première phase concerne la définition
de la politique de sécurité, et nous l'entourons
par des séminaires de sensibilisation. Au cours
de la deuxième étape, nous pratiquons des
tests d'intrusion, des audits de sécurité
et des audits applicatifs. En troisième lieu, nous
développons des infrastructures bancaires et financières
et des solutions pour les fournisseurs de services Internet,
ce qui passe par l'intégration d'outils de sécurité,
firewalls, IDS (systèmes de détection d'intrusion),
etc. Enfin, dans les services infogérés,
nous apportons une réponse d'urgence, nous assurons
la surveillance des systèmes sécurisés,
des niveaux de performance et de la qualité de
service.
Qui
sont les clients de Vauban Systems aujourd'hui ?
Est-il possible de nous en citer quelques-uns, en particulier
en France ?
Nous avons des clients parmi
les entreprises françaises, pour lesquelles nous
externalisons la fonction de sécurité. En
France, nos clients sont essentiellement dans le milieu
industriel, aérospatial et la défense. Notre
avantage par rapport aux autres spécialistes de
la sécurité est que nous disposons d'un
réseau de consultants qui se développe.
Actuellement, nous travaillons avec un réseau de
plus de 70 experts répartis dans 24 pays,
que nous animons.
Quand une vulnérabilité est découverte,
nous accédons à cette information de 6 mois
à un an avant qu'elle ne soit rendue publique.
En cela, nous avons une approche dynamique de la veille
technologique, ce qui nous donne une avance certaine sur
nos concurrents. Souvent, quand nous passons après
une société de sécurité et
que nous pratiquons des tests, nous arrivons encore à
rentrer dans le système. Cela arrive surtout pour
de nouveaux clients, mais pour les autres nous offrons
aussi des tests récurrents. En général,
le taux de réussite pour s'infiltrer est de plus
de 96 %, même après qu'un concurrent
ait sécurisé le client.
Cela
veut-il dire qu'un système sécurisé
n'est toujours pas sécurisé... ?
Les entreprises peuvent sécuriser
leurs systèmes, mais nous arrivons toujours à
y rentrer. Concernant les intrusions, nous avons une bonne
avance par notre veille technologique et notre méthodologie.
Concrètement dans cette dernière, nous analysons
le réseau de confiance. Les tests d'intrusion sont
très stratégiques, mais si notre client
n'a pas une politique de sécurité efficace,
il est quasi-impossible pour lui de se protéger.
Lorsqu'une entreprise fait appel à une société
de service, celle-ci effectue le test avec un scanner
ISS et fournit un rapport tout cru sans même entourer
sa prestation avec du conseil. En ce qui nous concerne,
nous développons des scénarii d'attaque
sur le plan technique, mais aussi humain en utilisant
des procédés d'ingénierie sociale
(social engineering).
Sécuriser les serveurs est une chose. Mais sécuriser
une société entière est beaucoup
plus compliqué. Par exemple, si un concurrent veut
espionner une société, elle va d'abord capturer
des e-mails, puis appeler l'entreprise et cibler des personnes
en son sein. L'approche humaine est vraiment importante.
D'autre
part, quand vous dites être au courant des failles
6 mois à un an avant qu'elles ne soient rendues
publiques, pourquoi attendre autant pour en parler ?
Parce que cela pourrait tarir
nos sources d'information.
Aujourd'hui, la plupart des experts se sont entendus pour
ne pas publier les sources d'information, et se sont assuré
de cela auprès des sociétés qui ne
développent pas cette expertise en interne. Chez
les éditeurs et dans les entreprises, les développeurs
font des milliers d'heures de programmation qui mettent
en danger la sécurité de leurs systèmes.
Demain, vous "patchez" votre serveur IIS et
après-demain, une nouvelle faille est découverte.
Dans ce cas précis, nous conseillons de désinstaller
ce produit et d'installer à la place un logiciel
auditable avec un accès aux sources, et dont les
technologies développées soient documentées.
Votre
approche humaine de la sécurité diffère
bien de celle des intégrateurs. Mais n'est-ce pas
celle de certains cabinets de conseil comme PriceWaterhouse
Coopers ? Les rencontrez-vous sur des projets ?
Nous les retrouvons en face
de nous. Mais pas seulement PriceWaterhouseCoopers, aussi
KPMG et Accenture. En revanche, nous ne sommes quasiment
jamais en compétition avec de petites sociétés
dont l'approche est surtout l'intégration de logiciels.
La plupart de ces prestataires essaient de caser un maximum
de produits. Quand elles offrent un service, celui-ci
est purement technique et il manque les parties fondamentales
sur les facteurs stratégiques et humains.
Le
facteur humain est-il précisément celui
qui a été pointé du doigt par un
rapport d'un expert de la DCSSI américaine à
propos des PKI (infrastructures à clef publique)
?
Le problème des sociétés
qui implémentent des PKI est qu'elles n'ont pas
d'expérience de la sécurité mais
plutôt de l'intégration de technologies.
Par conséquent, quand elles conçoivent leurs
systèmes d'authentification, et qu'eux-mêmes
comportent des failles de sécurité, ils
ne peuvent pas assurer leurs objectifs. C'est pareil quand
l'entreprise installe un firewall, mais doit s'ouvrir
à Internet. Le firewall permet un meilleur contrôle
de l'accès à son réseau. Si un pirate
tente de se connecter, l'entreprise peut en avoir des
traces, mais cela ne veut pas dire qu'elle n'est plus
vulnérable car les employés peuvent toujours
envoyer et recevoir des emails. Sans parler du fait qu'elle
ne se protège pas en interne...
Justement,
parlons-en. Comment le client doit-il procéder
pour faire face à la menace interne, qui est réputée
plus importante que l'externe ?
Il faut d'abord définir
quelles informations ont de la valeur et quels sont les
systèmes à protéger. Puis, diviser
le réseau de l'entreprise en entités et
définir les sous-réseaux confidentiels.
Dans la plupart des entreprises, toutes les machines se
font confiance, et sans cloisonnement il est très
difficile de protéger les capitaux. Citons l'exemple
très positif du groupe Axa. Sur son réseau,
chaque petit département est indépendant
au niveau de la sécurité et ne se fait pas
confiance. Mais dans d'autres sociétés,
il suffit souvent de prendre le contrôle d'une machine
pour prendre le contrôle de tout le réseau
de l'entreprise, voire de ceux des partenaires et des
clients.
En France, pour citer un exemple frappant, nous avions
pratiqué des tests d'intrusion sur un réseau,
mandatés par la direction générale.
Nous nous sommes infiltrés avec succès dans
les systèmes, où nous avons découvert
des propositions commerciales au niveau d'un serveur de
messagerie qui contenait des informations confidentielles.
La direction a contacté le département que
nous avions audité et prévenu ses responsables
techniques qu'ils avaient été victimes d'une
intrusion et pouvaient vérifier leurs logs. Là-dessus,
ils ont soutenu qu'il n'y avait pas eu d'intrusion. La
direction générale leur a donc laissé
quatre jours pour enquêter et faire un état
des lieux. Au bout de ces quatre jours, le département
soutenait toujours qu'il n'y avait pas eu d'intrusion
et que le serveur ne contenait aucune information confidentielle.
A partir de là, la direction m'a envoyé
sur place pour faire un débriefing, sécuriser
d'urgence le système et effectuer un audit plus
complet. Ce réseau n'était censé
être utilisé que pour se connecter à
Internet. Et déjà, chaque poste avait des
autocollants "post-it" partout avec les mots
de passe. En plus, à partir de ce réseau,
les utilisateurs allaient chez les clients, chez les partenaires
et même sur des réseaux militaires, avec
tous les mots de passe en clair. Quelqu'un aurait donc
pu utiliser leur réseau pour mener des attaques
sur un concurrent, avec pour but de les incriminer.
Vauban
Systems est-elle entièrement constituée
d'anciens hackers ? Est-ce un avantage pour une société
de ce type ?
Nous ne sommes pas tous d'anciens
hackers, et ce n'est d'ailleurs pas le profil que nous
recherchons. Nous essayons d'être assez polyvalents.
Lorsque nous développons des outils d'aide à
la décision et de back-office dans le domaine bancaire
et financier, nous avons besoin d'un côté
de personnes qui se penchent sur des concepts de sécurité,
et de l'autre de spécialistes de l'ingénierie
financière pour développer des outils spécifiques.
Au delà de notre approche déjà large
de la sécurité, nous avons la conviction
que les terminaux de paiement bancaires, les logiciels
de brokerage en ligne, les outils d'aide à la décision
et les solutions back-office dans ce domaine nécessitent
deux composantes primordiales: la sécurité
et l'ingénierie financière.
D'une manière générale, pour chaque
secteur cible nous développons des compétences
qui nous permettent de mieux comprendre les besoins du
client en terme de fonctionnalités. Souvent, lorsque
l'on sécurise un système, il devient inutilisable
en l'état et il faut donc redévelopper les
interfaces. Ici, nous nous mettons en concurrence avec
les intégrateurs pour que dès le départ,
en terme de qualité de service, le client bénéficie
d'un véritable retour sur investissement. Nous
considérons que la sécurité ne consiste
pas seulement à se protéger des intrus,
mais vise aussi à maintenir l'intégrité,
la confidentialité, l'authenticité et la
disponibilité de l'information.
J'ai
entendu dire que vous alliez ouvrir une structure en France.
Est-ce vraiment prévu et quand ?
Oui. En 2002, nous comptons
aussi nous étendre en Asie et en Europe. Pour l'instant,
nos priorités s'orientent vers Singapour et la
France. Nous avons confié un mandat à Wizard
Asset Investment pour lever 5 millions de dollars
sur l'année en vue de financer notre développement.
Nous comptons garder notre centre de R&D et notre
base opérationnelle en Asie, avec un centre de
formation à Bali en motivant les responsables sécurité
à s'y rendre dans un cadre agréable. En
France, nous comptons ouvrir une structure qui offrira
les mêmes services, mais nous avons dans ce pays
plus de partenariats pour placer des experts en sécurité
en régie dans des sociétés françaises.
Nous développons aussi une approche axée
vers la sécurité physique, et nous comptons
former des experts en Asie pour les dépêcher
en France. Pour les autres pays d'Europe, notre stratégie
est la même.
Lire
la deuxième partie de l'interview: état
des lieux
|
C'est sous le feu de l'actualité après ses
exploits en tant que hacker qu'Anthony Chris Zboralski
entame sa carrière professionnelle comme consultant indépendant
auprès de sociétés sensibles en France. Approché par des
maisons d'édition en 1996, il écrit un livre qui ne paraîtra
pas car jugé trop épineux. En 1997, il est
approché par la DGSE, la DST et des sociétés de sécurité
physique dont PHL International, dirigée par l'ancien
patron du GIGN Philippe Legorgus, pour laquelle il effectue
des missions de sécurité informatique. Pendant 3 ans,
il est consulté par des entreprises et organisations dans
la banque, le nucléaire et l'armement. L'année 2001 est
celle du grand pas: en collaboration avec Matthieu Cavalié,
il fonde Vauban Systems, une société de conseil en sécurité
informatique qui compte lever 5 millions de dollars
sur les 18 prochains mois, afin de financer son développement
en Asie et en Europe.
|
|
|
|