Rechercher :         
Sociétés Prestataires Carnet Formations Progiciels Encyclo Fonds Guide d'achat Téléchargement
 
INTERVIEW

Carl Wescott
Consultant sécurité
Tritonic


Président de Tritonic, société de consulting sécurité, Carl Wescott est un expert reconnu outre atlantique. Ses domaines de compétences recouvrent les systèmes de transactions financières, la sécurité des réseaux, la cryptographie, l'analyse et la réduction des risques. C'est à ce consultant que Centura Software a fait appel pour renforcer la sécurité de SQLBase SafeGarde Max, sa solution de base de données relationnelle cryptée 128 bits triple DES. A l'occasion de son passage en France, Carl Wescott répond aux questions du JDNet Solutions.

Propos recueillis le 8 octobre 1999 par Christophe Dupont

JI: Quelle est votre métier, hacker professionnel ?
Carl Wescott: J'ai un passé de hacker et de cracker. Depuis quelques années, je suis passé du "bon côté", je suis désormais un "ethical hacker", par opposition au hacker délinquant qui agit dans l'illégalité. Je continue de pénétrer dans des réseaux mais uniquement lorsqu'on me le demande, pour des sociétés pour lesquelles je réalise des tests d'intrusion. Et l'on me paie pour ça ! (rires). Donc oui, je suis un hacker professionnel. Mon travail consiste à aider les entreprises à sécuriser leur réseau, leurs systèmes. Dans le cadre de Centura Software, j'ai apporté mon savoir-faire dans le développement en amont de SQLBase SafeGarde Max.

 Quelle a été votre méthode dans le cas de SafeGarde ?
Dans un premier temps, je pars du postulat que le hacker a déjà pénétré dans le réseau. Donc qu'il a directement à faire à SafeGarde. D'abord parce que c'est ce produit que je dois renforcer, donc mettons le en situation. Ensuite parce que de plus en plus d'attaques sont issues de l'intérieur même de l'entreprise. A partir de ce postulat, je met à profit mes connaissances des techniques de hacking. Je les répertorie une à une et je m'assure que face à chacune des attaques SafeGarde apporte une solution satisfaisante. Il faut bien garder à l'esprit néanmoins que le risque zéro en sécurité informatique n'existe pas.

Justement, quels sont alors les critères satisfaisants pour juger de la sécurité d'un produit ?
Deux facteurs interviennent: le temps et l'argent. Dans de nombreux cas, pénétrer un système peut n'être qu'une question de temps, certaines techniques ne requièrent que ça, et le compétences nécessaires. Je pense à la décompilation: vous récupérez un programme et passez dessus le temps nécessaire pour le décompiler, en extraire le code source pour l'analyser et le comprendre. En second lieu, l'argent peut faire la différence. Une personne mal attentionnée avec des moyens financiers pourra avoir le matériel adéquat, les hackers compétents pour pénétrer n'importe quel système. C'est la combinaison de ces deux facteurs qui fait que la sécurité absolue ne peut être envisagée. Mon rôle est d'élever la barre assez haut pour que le piratage soit très dificile à réaliser, qu'il demande trop de temps, trop de moyens et trop de chances.

Quelles sont les types d'attaques que vous envisagez ?
Elles sont au nombre de 8. Je commencerais par celles qui demandent le moins de temps, ce sont celles que je préfére personnellement mettre en oeuvre lorsque je teste une compagnie ! (rires). L'analyse des fichiers de données révèle souvent de précieux renseignements. Par exemple les fichiers logs, qui servent à garder des traces de l'activité du réseau, contiennent des informations utiles pour le hacker. SafeGarde réplique à cette attaque en encryptant tous les fichiers logs.
La seconde technique consiste à sniffer (écouter les ports sur le réseau) pour intercepter des données utiles comme des mots de passe. Là encore la réplique consiste à encrypter toutes les communications client/serveur.
En troisième point, on trouve une technique que nous appelons aux Etat-Unis "Man in the Middle": se placer entre deux clients pour intercepter, donc lire, modifier, effacer, les données qu'ils se transmettent. Il faut alors procéder à un encryptage suivi d'une authentification des échanges.
La 4ème technique est la plus répandue depuis l'émergence d'Internet: utiliser des dictionnaires, des outils pour chercher à trouver des mots de passes. On tente de se faire identifier en essayant des milliers de mots de passe jusqu'à trouver le bon.

Comment empêcher ce type d'attaque ?
On ne peut pas véritablement empêcher ce genre d'attaques mais on peut diminuer les chances de réussite. SafeGarde ne permet qu'un délai réduit pour s'identifier couplé à un nombre d'essais très limité. Passé ce délai ou le nombre de tentatives autorisées, il met fin à la connection et l'administrateur doit intervenir pour rétablir les droits d'accès de l'utilisateur. A moins d'une chance inouïe, il est impossible de trouver en deux ou trois essais le mot de passe. C'est mathématiquement possible mais fort improbable.

Quelles sont les quatre autres techniques de hacking ?
Avec la 5ème technique et les suivantes, on rentre dans le cadre d'attaques qui mettent beaucoup plus longtemps à être mises en oeuvre et qui sont plus sophistiquées. Pour cette attaque, il faut avoir accès au serveur. Il faut pouvoir atteindre le contenu de la mémoire, pour voir ce qui s'y passe, y chercher des mots de passe temporairement présents en mémoire, etc. SafeGarde remplace le contenu de la mémoire juste après qu'une information est été traitée. La mémoire contient les données trop peu de temps pour qu'un hacker puisse arriver à les extraire.
La décompilation du code est la seule attaque face à laquelle SafeGarde n'est pas mieux préparé qu'une autre solution. Il s'agit donc d'empêcher que les codes sources soient accessibles, celà dépend de la sécurité générale du réseau, et rendre ces codes les plus opaques possibles, les plus difficiles à comprendre et interpréter.

Justement; où en est la crypto analyse ?
La crypto analyse (ndlr: science du déchiffrement) rentre dans le domaine de la recherche et du développement, ce n'est pas tellement utilisé par les hackers, il faut avoir un haut niveau scientifique. Il faut comme la dernière technique, l'utilisation d'un cracker (outil hardware de déchiffrement) DES, s'assurer d'utiliser des techniques éprouvées. Je préconise le triple DES.
Quoiqu'il en soit, SafeGarde, aussi performant qu'il puisse être n'est qu'un élément du puzzle qui compose la sécurité. L'entreprise doit adopter une réelle politique de sécurité et la suivre! Celà concerne les mots de passe, les clés de codage, la formation du personnel, etc.

Les tests d'intrusion prennent une place importante dans cette politique de sécurité ?
Bien sûr, tous les trimestres il faut éprouver la résistance du réseau.

En France, peu d'entreprises ont recours à ce genre de tests, par défiance ou par optimisme. La situation est-elle la même aux Etats-Unis ?
Non, dans la Silicon Valley, c'est une pratique très courante. Les médias, les cabinets de consulting, ont suffisamment alerté les entreprises sur les dangers de se voiler la face sur les problèmes de sécurité, sur l'importance des tests et d'une veille régulière des trous de sécurité des réseaux, des sytèmes d'exploitation. La prise de conscience aux Etats-Unis s'est produite plus tôt qu'en France. La une du San Jose Mercury News est très souvent consacrée à un problème de sécurité, plus qu'à l'actualité politique !

Comment pensez vous que vont évoluer les pratiques de hacking et les défenses ?
Je pense que les outils d'automatisation d'attaques de hacking vont être de plus en plus utilisés. Ils sont de plus en plus nombreux et de plus en plus intelligents, sophistiqués.

Quels conseils donner aux entreprises ?
Rester à la page. L'utilisation des solutions de défense les plus sophistiquées ne vaut en réponse que s'ils sont mis à jour. On se rapproche de la même problématique que les logiciels anti-virus. Un tel logiciel n'est efficace que s'il est régulièrement mis à jour pour pouvoir reconnaitre les virus les plus récents. Idem pour la sécurité, l'administrateur chargé du réseau doit se tenir parfaitement informé des failles de sécurité découvertes, des corrections à appliquer. Sans cette vigilance, la défense du réseau est compromise.

Pour finir, une question plus anecdotique: que pensez vous de l'affaire Kevin Mtinick ?
C'est une affaire lamentable. Qu'il ait commis des actes répréhensibles certes, mais il ne mérite pas le traitement qui lui est infligé. C'est une négation de ses droits constitutionnels. Côté technique, c'est un bon hacker, il est surtout très fort en social engineering.

Toutes nos interviews


Responsable de rubrique : Alain Steinmann

Gratuit - L'actualité des technologies
e-business
Toutes nos newsletters
 
 
 
 
 
 
Logiciels libres
Retours d'expérience, panorama, analyses.
Sommaire
 
Failles de sécurité
Vulnérabilités des logiciels & évaluation des risques.
Sommaire
 
 

Les entreprises de l'Internet
Plus de 5000 sociétés référencées

Les prestataires
Plus de 2600 prestataires

Les fonds
Plus de 100 fiches descriptives

Le carnet des managers Internet
Plus de 1500 dirigeants

Guide des solutions
Plus de 310 briques logicielles
 


Pour tout problème de consultation, écrivez au Webmaster
Copyrights et reproductions . Données personnelles
 Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE