"Quand nous sécurisons une entreprise, nous développons des scénarios techniques mais aussi humains""
Par le JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/itws/011107_it_vaubansys_zboralski.shtml
Dresser le parcours d'Anthony Chris Zboralski,
"hacker médiatique" au milieu des années 90 n'est
pas tâche facile. A l'époque, celui dont le pseudonyme était
Frantic se fait dresser le portrait sur la couverture de Libération
lors de la découverte de son "exploit" (le détournement
des lignes du FBI) en 1994, puis nommer personnage de l'année en
1995 par le journal Le Monde, avant d'être cité deux ans
plus tard par le news-magazine Le Point
alors qu'il avait déjà tourné le dos à ses
activités illicites.
Aujourd'hui, ACZ dirige le prestataire de pointe en sécurité
informatique Vauban Systems
depuis son siège en Indonésie, un endroit où il fait
bon vivre et où la main d'oeuvre qualifiée est meilleur
marché. Prévoyant de réaliser 1,5 millions de
dollars de CA sur ce seul pays en 2002, où ses clients sont surtout
des banques, des institutions financières et des gouvernements
de l'état fédéral, la société sert
aussi les intérêts d'entreprises en France où elle
prévoit de s'implanter prochainement.
Pour mieux appréhender les problématiques de sécurité
des systèmes d'informations, ne cherchez pas ailleurs. Ou plutôt
si, puisque l'expert conseille de s'informer, et de tenir compte des véritables
enjeux de ce phénomène complexe.
Lire
la deuxième partie de l'interview: état des lieux
Propos recueillis par François Morel le 07/11/2001
JDNet Solutions: quels sont les faits qui vous ont été reprochés autrefois, lorsque vous étiez plus connu en tant que hacker sous le pseudonyme Frantic ?
Anthony C. Zboralski: Il s'agissait d'intrusion de systèmes automatisés de données. C'était en 1994, et le plaignant était le FBI. J'ai bêta-testé la loi Godfrain et dans le LAMI Informatique, la jurisprudence porte le nom "Zboralski-FBI".
Comment entamez-vous votre reconversion ? Avez-vous rencontré des difficultés, et lesquelles ?
Non, aucune difficulté. Au contraire, toutes les portes se sont ouvertes.
Qu'est-ce qui vous a motivé, vous et vos associés, à fonder Vauban Systems en Indonésie ? Et quelle est sa principale activité ?
J'ai été consultant indépendant, puis directeur de recherche jusqu'à novembre 2000. David Nataf m'a présenté mattieu Cavalié, qui était broker en bourse et m'a invité à le rejoindre. Nous avons décidé ensemble de développer Vauban Systems et de démarrer un vrai business model. Or, nous avons constaté un réel potentiel de développement en Asie pour la sécurité informatique, et c'est ainsi que nous avons commencé à servir des clients en France depuis l'Asie.
Pour cela, nous avons développé une approche intéressante par rapport à la sécurité. Nous ne vendons pas de la sécurité comme une suite de solutions logicielles, mais comme un ensemble de solutions techniques et non techniques. Notre méthodologie se décline en un cycle de vie qui comporte quatre étapes: la stratégie, l'analyse, l'implémentation et le service continu.
La première phase concerne la définition de la politique de sécurité, et nous l'entourons par des séminaires de sensibilisation. Au cours de la deuxième étape, nous pratiquons des tests d'intrusion, des audits de sécurité et des audits applicatifs. En troisième lieu, nous développons des infrastructures bancaires et financières et des solutions pour les fournisseurs de services Internet, ce qui passe par l'intégration d'outils de sécurité, firewalls, IDS (systèmes de détection d'intrusion), etc. Enfin, dans les services infogérés, nous apportons une réponse d'urgence, nous assurons la surveillance des systèmes sécurisés, des niveaux de performance et de la qualité de service.
Qui sont les clients de Vauban Systems aujourd'hui ? Est-il possible de nous en citer quelques-uns, en particulier en France ?
Nous avons des clients parmi les entreprises françaises, pour lesquelles nous externalisons la fonction de sécurité. En France, nos clients sont essentiellement dans le milieu industriel, aérospatial et la défense. Notre avantage par rapport aux autres spécialistes de la sécurité est que nous disposons d'un réseau de consultants qui se développe. Actuellement, nous travaillons avec un réseau de plus de 70 experts répartis dans 24 pays, que nous animons.
Quand une vulnérabilité est découverte, nous accédons à cette information de 6 mois à un an avant qu'elle ne soit rendue publique. En cela, nous avons une approche dynamique de la veille technologique, ce qui nous donne une avance certaine sur nos concurrents. Souvent, quand nous passons après une société de sécurité et que nous pratiquons des tests, nous arrivons encore à rentrer dans le système. Cela arrive surtout pour de nouveaux clients, mais pour les autres nous offrons aussi des tests récurrents. En général, le taux de réussite pour s'infiltrer est de plus de 96 %, même après qu'un concurrent ait sécurisé le client.
Cela veut-il dire qu'un système sécurisé n'est toujours pas sécurisé... ?
Les entreprises peuvent sécuriser leurs systèmes, mais nous arrivons toujours à y rentrer. Concernant les intrusions, nous avons une bonne avance par notre veille technologique et notre méthodologie. Concrètement dans cette dernière, nous analysons le réseau de confiance. Les tests d'intrusion sont très stratégiques, mais si notre client n'a pas une politique de sécurité efficace, il est quasi-impossible pour lui de se protéger. Lorsqu'une entreprise fait appel à une société de service, celle-ci effectue le test avec un scanner ISS et fournit un rapport tout cru sans même entourer sa prestation avec du conseil. En ce qui nous concerne, nous développons des scénarii d'attaque sur le plan technique, mais aussi humain en utilisant des procédés d'ingénierie sociale (social engineering).
Sécuriser les serveurs est une chose. Mais sécuriser une société entière est beaucoup plus compliqué. Par exemple, si un concurrent veut espionner une société, elle va d'abord capturer des e-mails, puis appeler l'entreprise et cibler des personnes en son sein. L'approche humaine est vraiment importante.
D'autre part, quand vous dites être au courant des failles 6 mois à un an avant qu'elles ne soient rendues publiques, pourquoi attendre autant pour en parler ?
Parce que cela pourrait tarir nos sources d'information. Aujourd'hui, la plupart des experts se sont entendus pour ne pas publier les sources d'information, et se sont assuré de cela auprès des sociétés qui ne développent pas cette expertise en interne. Chez les éditeurs et dans les entreprises, les développeurs font des milliers d'heures de programmation qui mettent en danger la sécurité de leurs systèmes. Demain, vous "patchez" votre serveur IIS et après-demain, une nouvelle faille est découverte. Dans ce cas précis, nous conseillons de désinstaller ce produit et d'installer à la place un logiciel auditable avec un accès aux sources, et dont les technologies développées soient documentées.
Votre approche humaine de la sécurité diffère bien de celle des intégrateurs. Mais n'est-ce pas celle de certains cabinets de conseil comme PriceWaterhouse Coopers ? Les rencontrez-vous sur des projets ?
Nous les retrouvons en face de nous. Mais pas seulement PriceWaterhouseCoopers, aussi KPMG et Accenture. En revanche, nous ne sommes quasiment jamais en compétition avec de petites sociétés dont l'approche est surtout l'intégration de logiciels. La plupart de ces prestataires essaient de caser un maximum de produits. Quand elles offrent un service, celui-ci est purement technique et il manque les parties fondamentales sur les facteurs stratégiques et humains.
Le facteur humain est-il précisément celui qui a été pointé du doigt par un rapport d'un expert de la DCSSI américaine à propos des PKI (infrastructures à clef publique) ?
Le problème des sociétés qui implémentent des PKI est qu'elles n'ont pas d'expérience de la sécurité mais plutôt de l'intégration de technologies. Par conséquent, quand elles conçoivent leurs systèmes d'authentification, et qu'eux-mêmes comportent des failles de sécurité, ils ne peuvent pas assurer leurs objectifs. C'est pareil quand l'entreprise installe un firewall, mais doit s'ouvrir à Internet. Le firewall permet un meilleur contrôle de l'accès à son réseau. Si un pirate tente de se connecter, l'entreprise peut en avoir des traces, mais cela ne veut pas dire qu'elle n'est plus vulnérable car les employés peuvent toujours envoyer et recevoir des emails. Sans parler du fait qu'elle ne se protège pas en interne...
Justement, parlons-en. Comment le client doit-il procéder pour faire face à la menace interne, qui est réputée plus importante que l'externe ?
Il faut d'abord définir quelles informations ont de la valeur et quels sont les systèmes à protéger. Puis, diviser le réseau de l'entreprise en entités et définir les sous-réseaux confidentiels. Dans la plupart des entreprises, toutes les machines se font confiance, et sans cloisonnement il est très difficile de protéger les capitaux. Citons l'exemple très positif du groupe Axa. Sur son réseau, chaque petit département est indépendant au niveau de la sécurité et ne se fait pas confiance. Mais dans d'autres sociétés, il suffit souvent de prendre le contrôle d'une machine pour prendre le contrôle de tout le réseau de l'entreprise, voire de ceux des partenaires et des clients.
En France, pour citer un exemple frappant, nous avions pratiqué des tests d'intrusion sur un réseau, mandatés par la direction générale. Nous nous sommes infiltrés avec succès dans les systèmes, où nous avons découvert des propositions commerciales au niveau d'un serveur de messagerie qui contenait des informations confidentielles. La direction a contacté le département que nous avions audité et prévenu ses responsables techniques qu'ils avaient été victimes d'une intrusion et pouvaient vérifier leurs logs. Là-dessus, ils ont soutenu qu'il n'y avait pas eu d'intrusion. La direction générale leur a donc laissé quatre jours pour enquêter et faire un état des lieux. Au bout de ces quatre jours, le département soutenait toujours qu'il n'y avait pas eu d'intrusion et que le serveur ne contenait aucune information confidentielle.
A partir de là, la direction m'a envoyé sur place pour faire un débriefing, sécuriser d'urgence le système et effectuer un audit plus complet. Ce réseau n'était censé être utilisé que pour se connecter à Internet. Et déjà, chaque poste avait des autocollants "post-it" partout avec les mots de passe. En plus, à partir de ce réseau, les utilisateurs allaient chez les clients, chez les partenaires et même sur des réseaux militaires, avec tous les mots de passe en clair. Quelqu'un aurait donc pu utiliser leur réseau pour mener des attaques sur un concurrent, avec pour but de les incriminer.
Vauban Systems est-elle entièrement constituée d'anciens hackers ? Est-ce un avantage pour une société de ce type ?
Nous ne sommes pas tous d'anciens hackers, et ce n'est d'ailleurs pas le profil que nous recherchons. Nous essayons d'être assez polyvalents. Lorsque nous développons des outils d'aide à la décision et de back-office dans le domaine bancaire et financier, nous avons besoin d'un côté de personnes qui se penchent sur des concepts de sécurité, et de l'autre de spécialistes de l'ingénierie financière pour développer des outils spécifiques. Au delà de notre approche déjà large de la sécurité, nous avons la conviction que les terminaux de paiement bancaires, les logiciels de brokerage en ligne, les outils d'aide à la décision et les solutions back-office dans ce domaine nécessitent deux composantes primordiales: la sécurité et l'ingénierie financière.
D'une manière générale, pour chaque secteur cible nous développons des compétences qui nous permettent de mieux comprendre les besoins du client en terme de fonctionnalités. Souvent, lorsque l'on sécurise un système, il devient inutilisable en l'état et il faut donc redévelopper les interfaces. Ici, nous nous mettons en concurrence avec les intégrateurs pour que dès le départ, en terme de qualité de service, le client bénéficie d'un véritable retour sur investissement. Nous considérons que la sécurité ne consiste pas seulement à se protéger des intrus, mais vise aussi à maintenir l'intégrité, la confidentialité, l'authenticité et la disponibilité de l'information.
J'ai entendu dire que vous alliez ouvrir une structure en France. Est-ce vraiment prévu et quand ?
Oui. En 2002, nous comptons aussi nous étendre en Asie et en Europe. Pour l'instant, nos priorités s'orientent vers Singapour et la France. Nous avons confié un mandat à Wizard Asset Investment pour lever 5 millions de dollars sur l'année en vue de financer notre développement. Nous comptons garder notre centre de R&D et notre base opérationnelle en Asie, avec un centre de formation à Bali en motivant les responsables sécurité à s'y rendre dans un cadre agréable. En France, nous comptons ouvrir une structure qui offrira les mêmes services, mais nous avons dans ce pays plus de partenariats pour placer des experts en sécurité en régie dans des sociétés françaises. Nous développons aussi une approche axée vers la sécurité physique, et nous comptons former des experts en Asie pour les dépêcher en France. Pour les autres pays d'Europe, notre stratégie est la même.
Lire
la deuxième partie de l'interview: état des lieuxC'est sous le feu de l'actualité après ses exploits en tant que hacker qu'Anthony Chris Zboralski entame sa carrière professionnelle comme consultant indépendant auprès de sociétés sensibles en France. Approché par des maisons d'édition en 1996, il écrit un livre qui ne paraîtra pas car jugé trop épineux. En 1997, il est approché par la DGSE, la DST et des sociétés de sécurité physique dont PHL International, dirigée par l'ancien patron du GIGN Philippe Legorgus, pour laquelle il effectue des missions de sécurité informatique. Pendant 3 ans, il est consulté par des entreprises et organisations dans la banque, le nucléaire et l'armement. L'année 2001 est celle du grand pas: en collaboration avec Matthieu Cavalié, il fonde Vauban Systems, une société de conseil en sécurité informatique qui compte lever 5 millions de dollars sur les 18 prochains mois, afin de financer son développement en Asie et en Europe.