|
Interviews |
|
Anthony C. Zboralski
|
Président
et CEO |
Vauban
Systems
|
"Quand
nous sécurisons une entreprise, nous développons des scénarii
techniques mais aussi humains" |
|
A
part Vauban Systems, Anthony C. Zboralski anime le HERT
(Hacker emergency response team), un "pool"
de plus de 70 experts en sécurité informatique
dans 24 pays. Une contrepartie non institutionnelle
des CERT (Computer emergency response team), dont l'original
américain est une émanation du Pentagone.
Après une première
partie sur la société qu'il dirige et sa
méthodologie, l'ancien hacker devenu spécialiste
reconnu en sécurité informatique dresse
un état des lieux du sujet. Quelles sont les principales
vulnérabilités et sont-elles celles que
l'on tient généralement pour pires ? Comment
la population des hackers a-t-elle évolué
depuis cinq ou dix ans ? Révélations sur
la révolution obscure du cybermonde.
Retour
à la première partie de l'interview
|
Propos recueillis par
François Morel le 29
octobre 2001
. |
JDNet
Solutions: A quoi
correspond le Tunnelx dont a parlé le HERT proche de Vauban
Systems ? Est-ce bien une faille des routeurs Cisco et
quelle est son étendue ?
Anthony C. Zboralski:
Nous avons développé le concept du Tunnelx
lors de missions de tests d'intrusion où la cible
était très bien sécurisée.
Malgré cela, nous avons réussi à
prendre le contrôle de leurs routeurs Cisco, et
nous avons rerouté de façon transparente
et furtive l'ensemble de leurs communications binaires.
Cela fonctionne un peu à la manière d'une
boîte noire. Le premier prototype était juste
un petit programme publié dans Phrack (une lettre
d'information spécialisée, ndlr), et finalement
nous avons développé une solution commerciale
pour les forces de l'ordre et la police comme outil de
surveillance. Les fonctionnalités ressemblent au
projet Carnivore du FBI.
Si jamais nous nous interfaçons avec le routeur
Cisco et que celui-ci soit administré de façon
régulière en vérifiant l'intégrité
des flux, il est alors possible de détecter l'existence
du Tunnelx dans la première version que nous avons
développé. Mais ce n'est plus possible depuis
la deuxième version. Bien sûr, si le programme
était utilisé de manière offensive,
il serait possible de le détecter. Mais comme notre
outil est déployé à des fins légitimes,
il n'y a pas de problème pour cacher son existence
sans que personne ne soit au courant.
Quelles
sont les organisations ayant acheté ce système ?
La France est-elle concernée ?
No comment...
Quelles
sont les trois failles les plus menaçantes à l'heure actuelle
?
Aujourd'hui, tout le monde
se focalise sur les failles des serveurs comme IIS, etc.
C'est vraiment un problème, mais je dirais plutôt
aujourd'hui que le principal risque est lié aux
réseaux de confiance des entreprises. Pour en revenir
aux failles des serveurs IIS, SSH et compagnie, celles-ci
sont importantes mais le problème est plus insidieux
qu'il n'y paraît. Personne n'est responsable. Les
failles sont introduites par la complexité croissante
des systèmes, par de mauvaises techniques de programmation,
et par un manque de documentation et d'expertise de la
part des développeurs.
De plus, il existe un écart trop grand entre la
complexité des systèmes et le niveau de
formation des utilisateurs. Or, que l'on achète
aujourd'hui des logiciels chez Microsoft, Sun ou Hewlett-Packard,
ou que l'on préfère les distributions Linux,
les systèmes par défaut contiennent un nombre
énorme de failles exploitables par un agresseur.
Un grand nombre de ces vulnérabilités ne
sont pas encore découvertes.
Les sociétés et même les particuliers
ne réalisent pas que les licences d'utilisation,
que ce soit l'EULA de Microsoft ou la GnuGPL de Linux
n'offrent aucune garantie. Par exemple, un hacker aujourd'hui
crée un ver de type CodeRed ou SirCam, le balance
sur Internet et se retrouve avec le FBI et Interpol après
lui. Mais pendant ce temps, les éditeurs de logiciels
ne reconnaissent même pas leurs responsabilités
quand ils vendent un système non sécurisé.
Microsoft porte le blâme sur la communauté
des experts en sécurité informatique et
tente désespérément de pratiquer
la sécurité par l'obscurantisme.
Oui,
mais si ce n'est pas le principal risque... ?
Les trois principales failles sont donc plus abstraites.
D'une part, nous avons un gros problème au niveau
humain avec les personnes qui font confiance à
un éditeur ou un fournisseur de système
d'information, et se retrouvent à faire confiance
à tout le monde. Les limites sont floues. Et nous
retrouvons la plupart des sociétés de sécurité
qui travaillent sur les failles d'IIS, etc. Au niveau
des utilisateurs, ensuite, existe un autre vrai problème
car il est aujourd'hui très facile de prendre le
contrôle de l'ordinateur d'une personne ciblée,
en envoyant un cheval de Troie par mail, qui peut se propager
du poste de la secrétaire au support technique
et ailleurs.
La plupart des entreprises, aussi, dépendent d'un
fournisseur d'accès Internet. Pour capturer l'ensemble
des emails de l'entreprise, il n'est donc pas nécessaire
de la pirater et il suffit de passer par les providers
qui ont du mal à se protéger. Enfin, un
autre problème est lié au facteur humain.
Les utilisateurs ne sont pas éduqués. Par
exemple, que dire quand on voit affichés des mots
de passe évidents, ou des habitudes de cliquer
sur toutes les pièces jointes. Avec un firewall
et un système de détection d'intrusion,
les entreprises se croient protégées, mais
les meilleurs hackers utilisent des failles de sécurité
encore inconnues du public.
Y
en a-t-il d'autres, très problématiques, qui vont
émerger ?
Un exemple récent
concerne le système SSH d'administration à
distance de serveurs Unix, qui renferme une vulnérabilité.
Tout le monde pensait qu'il était impossible d'exploiter
cette faille, et pourtant cela fait plus de trois ou quatre
mois que nous avons les outils nécessaires à
son exploitation. Or, le marché commence à
peine à se réveiller aujourd'hui. Sur 5 500 serveurs
équipés de SSH en Indonésie, aux
Philippines, à Brunei et Singapour, plus de 3 000 sont
vulnérables. Là encore, il s'agit d'un outil
pour administrer un serveur de façon sécurisée,
qui utilise un mécanisme de chiffrement et donne
un sentiment de sûreté aux administrateurs.
C'est pour cela que nous ne voulons pas nous positionner
comme une société qui vend des produits.
Si le client nous le demande, nous lui fournissons les
produits adaptés, mais nous considérons
que s'arrêter là est une mauvaise approche.
Comment
le monde du "hack" a-t-il évolué depuis 8 ou 10
ans ?
Les protagonistes sont de
plus en plus jeunes. Une majorité d'entre eux ne
font que s'amuser et ne possèdent pas de talents
particuliers. Il s'est produit une séparation entre
les "lamers" (traduire: les débutants,
littéralement les "boiteux", ndlr) et
les experts en hacking. De leur côté, les
experts sont de plus en plus techniques et méprisent
les novices qui ont du mal a suivre.
Quel
est l'aspect de cette "scène underground" qui pose
le plus de problèmes aujourd'hui ?
Ce sont les gamins, qui ne
prennent pas le temps d'apprendre, et qui attaquent des
cibles sans même comprendre et maîtriser les
outils qu'ils utilisent. Ils ne savent pas effacer leur
trace, n'ont ni méthodologie ni objectifs, et se
jettent tout cuit dans les bras de la police.
Que
pensez-vous de l'initiative Kill.net (article)
lancée par le millionnaire allemand et ex-hacker Kim Schmitz
alias Kimble ?
Le programme de Kim Schmitz
est une plaisanterie de mauvais goût. Il n'y a rien
de vraiment sérieux la-dessous.
Quel
est le système de sécurité le plus infaillible ? Existe-t-il
réellement ?
Tout dépend de la
granularité du système. Si l'entreprise
veut un serveur de messagerie sécurisé,
c'est possible. Maintenant, il faut voir aussi du côté
des gens qui ont accès au système. Et quand
on veut prendre le contrôle d'un serveur, on peut
s'attaquer aux machines des utilisateurs ou des administrateurs.
Aujourd'hui, la sécurité informatique ressemble
trop à de la pose de rustines. Le serveur de HERT
qui fonctionne depuis 1998 n'a jamais été
hacké, et pourtant nous sommes vraiment ciblés
car tout le monde sait que nous avons des informations
propriétaires. Beaucoup de hackers tentent donc
leur chance, mais depuis trois ans personne n'a réussi.
Notre particularité tient dans le dynamisme de
la sécurité du système, dans le fait
que nous sommes informés, que nous savons ce que
nous faisons et que nous ne prenons pas de risques.
Les
A.I.S., ou systèmes immunitaires artificiels sont-ils
l'avenir de la sécurité informatique ?
Ce sont des systèmes
d'information qui fonctionnent comme le système
immunitaire humain. Les chercheurs qui travaillent dessus
appliquent la programmation génétique à
l'informatique et ça fonctionne. Il faut créer
un système d'information distribué et redondant,
où chaque élément de l'infrastructure
participe à la détection d'intrusion et
à la protection du système tout entier.
Pour l'instant, cette technologie marche dans les laboratoires
mais n'est pas en pratique. Nous avons nous même
travaillé là-dessus dans le cadre de notre
projet Symbiosis.
A
présent, quels sont vos projets... ?
Faire de Vauban Systems le
leader de la sécurité informatique en Asie...
Retour
à la première partie de l'interview
|
C'est sous le feu de l'actualité après ses
exploits en tant que hacker qu'Anthony Chris Zboralski
entame sa carrière professionnelle comme consultant indépendant
auprès de sociétés sensibles en France. Approché par des
maisons d'édition en 1996, il écrit un livre qui ne paraîtra
pas car jugé trop épineux. En 1997, il est
approché par la DGSE, la DST et des sociétés de sécurité
physique dont PHL International, dirigée par l'ancien
patron du GIGN Philippe Legorgus, pour laquelle il effectue
des missions de sécurité informatique. Pendant 3 ans,
il est consulté par des entreprises et organisations dans
la banque, le nucléaire et l'armement. L'année 2001 est
celle du grand pas: en collaboration avec Matthieu Cavalié,
il fonde Vauban Systems, une société de conseil en sécurité
informatique qui compte lever 5 millions de dollars
sur les 18 prochains mois, afin de financer son développement
en Asie et en Europe.
|
|
|
|
|
|