Triple exploit au Pwn2Own 2017 pour s’échapper d’une machine virtuelle et atteindre l’hyperviseur

VM escape … oui, mais encore ?

Le groupe chinois Qihoo 360, coutumier des exploits (bien préparés) dans les concours de sécurité, à touché 105.000 dollars pour un triple exploit… chapeau !

Le scénario: un poste de travail virtualisé innocent visite un site internet au contenu malveillant (en javascript).

En trois coups, l’équipe de Qihoo à réussi à traverser les mécanismes d’isolement du navigateur, du système d’exploitation et à remonter jusqu’à l’hyperviseur.

Pourtant, tout avait l’air OK et ressemble à ce qui se fait couramment en entreprise, avec toutes les garanties apportées par les éditeurs sur la robustesse des produits…

shield-1412482-639x426

Les mesures mises en place

  Contre les sites internet malveillants ou possédés : bac à sable et navigateur moderne

  Contre les menaces: des solutions professionnelles et un système d’exploitation récent

  Pour optimiser les ressources / réduire les coûts / aller dans le cloud : virtualisation


Les failles exploitéeserreur fatale

  Bac à sable (Edge) : KO via un débordement de la pile

  Système d’exploitation (Windows 10) : KO via une faille noyau (UAF)

  Virtualisation (VMWare) : KO via une faille exploitant un buffer non initialisé

Donc, quand un internaute se promène sur un site malveillant, la ballade peut se terminer par une prise de contrôle de l’hyperviseur, puis de là potentiellement le cœur de l’infrastructure (les autres VM de cet hyperviseur et comme par exemple la VM firewall).

Cette démonstration de force, ou plutôt d’habileté à mettre en déroute la sécurité de toute la pile d’un datacenter virtuel,  rappelle que tout est piratable…

Inévitable, alors que faire ?

woman-hand-desk-office

Pour éviter l’effet domino et une telle escalade, dans la mesure du possible il faut résister à la facilité, à la tentation de suivre la mode du tout virtualisé (y compris le réseau, la sécurité).

Les principes type KISS et de la séparation des fonctions ne sont pas incompatibles avec une infrastructure moderne et économique (cher ≠ meilleur), du moins pour le moment. Car les efforts des constructeurs-éditeurs pour du « software defined » (SDN, SDS, SDDC) conduiront bien à terme à l’effacement des limites.

Le problème de fond étant la maturité de l’offre -qui ne sera par définition jamais atteinte- et donc l’empilage des couches logicielles qui rendent possible un triple exploit comme celui ci.

Il reste donc les bonnes pratiques, déjà connues mais toujours valides. L’état de l’art et le bon sens lors de la conception de solutions, ensuite les tests, mises à jour, contrôles et corrections. Pour tout cela, il faut du temps, des compétences des ressources.

Comment ont ils fait ? Mes serveurs sont ils en risque ? Que faire pour éviter que ça se reproduise, est-ce vraiment inévitable…? Et si finalement la vraie question était : quels moyens accordez vous réellement à la sécurité ?

Prenons un peu de recul pour analyser les offres cloud

En préambule dans cet article, pas de comparaison de modèle (cloud public / privé / hybride), mais plutôt une lecture qualitative des offres qui semblent toutes identiques au premier abord…

cloud-space

Tout le monde vend du cloud… pour tout faire et à tous les prix, pourquoi ?

Tout simplement parce que chaque solution avec son rapport qualité/prix est définie d’abord par la stratégie commerciale de l’hébergeur, le marché visé, et que derrière le terme « cloud » se cachent plusieurs offres combinant technologie, qualité de service et savoir faire.

De la technologie, il en faut car après tout, le cloud n’est que le matériel et le logiciel de quelqu’un d’autre pour accueillir votre charge de travail, et vos précieuses données.

La qualité de service détermine les règles du jeu (performance, volumes, consommations), les marges de manœuvre de l’hébergeur pour sa maintenance, les évolutions, et les résolutions d’incident qui surviennent.

Et il y a du savoir faire, que vous allez chercher, c’est donc une véritable valeur facturable.

 

La hiérarchie technique des offreschess-nb

Un point essentiel avant de commencer : plus le service que vous prenez dans le cloud est simple ou de haut niveau, plus l’hébergeur doit construire et opérer une solution complète pour le proposer.

Classons donc hiérarchiquement les offres de cloud, qui pour certaines selon moi ne méritent pas vraiment cette appellation.

A. Serveur:

Au minimum donc, le cloud, c’est un serveur. Sur ce matériel, vous pouvez installer votre pile logicielle. Mais attention, pour « faire du cloud » sur un serveur loué, il faut vous même déployer ce qui crée le cloud, à savoir la virtualisation de machine, de stockage, de réseau sans oublier de quoi orchestrer l’ensemble. Autrement dit la suite complète des composants d’OpenStack ou de VMWare. A moins qu’il s’agisse de déployer « simplement » owncloud.
Paradoxalement, c’est à cette toute première étape qu’il faut s’arrêter pour construire un cloud souverain. Qui vous appartient « autant que possible » c.a.d. sans avoir à investir dans le matériel, sa maintenance et son environnement (datacenter, bande passante, énergie, froid, sûreté physique etc).

La cible typique: une entreprise voulant limiter ses investissements et les ressources allouées à la production informatique, avec un fort besoin de performance et d’exclusivité, ou des contraintes réglementaires difficiles à satisfaire en fonds propres.

B. Machine Virtuelle:

Ici vont toutes les offres virtualisées de près ou de loin, nommées serveur privé virtuel (VPS). Malheureusement certains hébergeurs entretiennent un flou artistique autour des serveurs privés virtuels, car plusieurs technologies sont proposées avec les mêmes argumentaires commerciaux et des prix identiques, pour un résultat pourtant très différent en qualité de service et en savoir faire.

Les VM virtualisées à la XEN, KVM, VMWare côtoient les environnements virtuels (VE) type OpenVZ, ou même des containers LXC… mixant allègrement Windows et Linux pour faire bonne mesure.

Le client type: une PME qui propose à ses client un logiciel ou service web déclaré être dans le cloud en SAAS. Exemple l’agence web tout près de chez vous, qui met votre site internet dédié et sur mesure « dans le cloud ».

C. L’Infrastructure (IAAS):

A partir d’ici, je considère que le concept de cloud prend forme… Louer une infrastructure managée donc le matériel, le stockage, le réseau, permet de se concentrer sur la partie logicielle des serveurs virtuels. Créer une instance reviens à demander l’allocation de ressources pour installer votre système d’exploitation, vos programmes et données, sans trop se soucier du reste.

structure-acierA ce niveau d’abstraction, d’énormes différences se creusent entre les hébergeurs selon les moyens et le savoir faire mis en oeuvre pour construire l’infrastructure, et l’opérer. Nous y reviendrons un peu plus tard.

C’est aussi en virtualisant l’infrastructure qu’on rencontre le concept de data center virtualisé (software designed datacenter), et que les bénéfices de l’automatisation et de l’exploitation de nombreuses ressources apparaissent. A tel point qu’on peut en oublier les regles du jeu, et par exemple laisser flotter (et donc être facturé) des instances qui ne servent plus, ou pas vraiment essentielles.

L’IAAS est donc plutôt pour les gros consommateurs, les grands projets, les entreprises réalisant un plan de reprise d’activité, ou définissant leur(s) datacenter(s) à travers le monde en conservant une réelle expertise et un haut niveau de maîtrise sur leur système d’information.

D. La Plateforme (PAAS):

C’est probablement ce modèle qui représente le mieux le cloud dans l’imaginaire collectif. L’hébergeur met à disposition un environnement complet donc matériel, stockage, réseau, système d’exploitation, base de donnée et éventuellement serveur d’application (middleware), pour que ses clients y déposent les données et y développent leurs applications.

Le prototypage, le développement ou finalement l’exécution d’applications en mode PAAS offrent de l’élasticité : la capacité à monter en charge verticalement en allouant plus de puissance de traitement, plus de stockage à votre application, ou la possibilité de monter en charge horizontalement si votre application est réellement conçue pour tirer partie de ce mode, et se distribue en autant d’instances que nécessaire pour faire face à la demande.

Au passage, voilà un des pièges rencontrés dans ce mode: verticalement, la puissance disponible qui paraît infinie puisque on ne parle plus de serveur mais de cloud, est pourtant limitée aux ressources de l’infrastructure, donc de l’hyperviseur, donc du serveur qui porte l’instance applicative.  Une application monolithique n’ira donc pas mieux ou plus vite que ce sur quoi elle repose réellement. Autre écueil possible : l’élasticité facture au consommé les ressources qui ont été allouées automatiquement, un pic d’activité (ou une attaque pour déni de service) reviens un peu à faire un chèque en blanc et constater éventuellement après coup le montant.

La cible du PAAS : les éditeurs logiciels qui mettent à disposition leurs solutions sans s’embarrasser des couches inférieures de la plate-forme, pour rester strictement sur leur cœur de métier (concevoir un logiciel ou un service, pas l’opérer).

E. Le dvd-1242726-639x852.jpgLogiciel (SAAS):

Stop, surprise, ce n’est pas du cloud, c’est du service. Puisqu’en souscrivant une offre de logiciel servi à la demande c’est le produit fini que vous consommez, pas sont cloud-support (qui peut avoir toutes les formes citées précédemment).

F. Les Containers :

Que ce soit du Docker ou Kubernetes, les containers sont un moyen de raccourcir la chaîne entre les développeurs et la mise en production d’applications ou de web services. Si on regarde comment sont construits et opérés les containers, c’est un peu l’aboutissement de la virtualisation légère et agile, ou la recherche de l’efficacité maximum. Ce qui n’est pas sans contre partie, donc cette forme particulièrement aboutie d’abstraction en mode cloud n’est pas « La » solution bonne à tout faire. D’autant que ce mode de distribution d’applications s’écarte légèrement des bonnes pratiques, avec une tendance à packager tous les composants nécessaires au fonctionnement de l’application et s’en tenir la puisque « ça fonctionne », ce n’est ni KISS ni très secure (tout est à jour et bien paramétré+protégé dans le container ?).

La cible: les Devops et éditeurs, pour des paquets  système+logiciels+base de donnée prêt à l’emploi pour du maquettage, des démos ou une nouvelle forme de self-service informatique.  

pexels-photo-90807G. GOTO 10 :

Pourquoi s’embarrasser de serveurs, de systèmes, de base de données, serveurs d’application, ou de containers quand on peut directement programmer et exécuter une application ? C’est ce que propose Amazon avec Lambda, et d’autres comme Webtask. Ou encore Iron.io qui permet de faire tourner vos containers sur plusieurs clouds. Je suis assez tenté de classer node.js dans cette catégorie aussi.

La cible technologique de ce concept: toute charge de travail qui n’est pas réalisable localement (ex: sur un smartphone, une app sollicite la plate-forme de calcul distante pour un traitement lourd), ou qui nécessite d’être modélisé autrement qu’avec les outils traditionnels.

 

Le hiérarchie qualitative des cloudsone-size-fits-all-1238039-640x480.jpg

Comme sur tout marché, on peut diviser en segments les offres et même découvrir quels acteurs, grands ou petits, sont présents sur ces marchés

1. Le bas de gamme c’est le cloud « taille S »

Vous achetez du prix, donc que ce soit pour un logiciel en SAAS, une machine virtuelle, ou du cloud les hébergeurs en font le minimum. Ça se voit au niveau de l’offre de service: les opérations de maintenance, les évolutions vous seront facturées à l’acte ou on vous invite à souscrire une offre supérieure. Pas de GTR, ou des délais et des engagements flous. Dans cette catégorie, vous trouverez de nombreux offreurs, généralement pour des VPS, des serveurs virtualisés ou des offres mutualisées.

Bon pour: débuter une activité avant de commercialiser, héberger un site ou un service dont vous pouvez vous passer quelques heures à quelques jours en cas de problème.

Qui propose ces offres ? Tous les hébergeurs qui font du volume, du gros volume, car c’est un produit très concurrentiel mais qui leur permet de financer de grosses infrastructures, voire de développer des technologies maison pour l’hébergement, la virtualisation, le stockage, la sécurité… et qui apportent une valeur ajoutée indispensable à leur haut de gamme. Ainsi que les hébergeurs plus modestes, ne disposant que d’offres low cost (il en faut pour tout le monde et c’est bien ainsi). 

2. Le milieu de gamme: taille unique, ça ne va jamais bien au final

Là l’hébergeur vous parle le langage de l’entreprise, avec les mots clés sauvegarde (à faire soi-même dans un espace de stockage « offert » avec la plate-forme), GTR et monitoring de votre xAAS, l’accès à un support technique soumis à quelques règles de bases en matière de qualité de service. Il est aussi prévu de base une protection en général basique contre les DDoS (dénis de service). Concrètement les offres xAAS de milieu de gamme peuvent réellement subir des arrêts de services, ou des dégradations (de performance, latence réseau etc) sans que vous puissiez agir de façon significative pour améliorer les choses, ou réclamer à l’hébergeur de pénalités.

La plupart des solutions cloud utilisée en mode PAAS et SAAS se trouvent ici, pour l’avantageux rapport qualité/prix, quitte à faire quelques concessions. C’est le segment à éviter selon moi, car soit on peut se contenter du bas de gamme, soit on compose avec deux hébergeurs au lieu d’un seul pour assurer réellement la continuité et la qualité de service. Ceci dit, dans ce segment on trouve de vraies pépites, par exemple quand un hébergeur « à taille humaine » sait gérer ses ressources et sa croissance pour maintenir un niveau de service quasi haut de gamme, et qui sait créer de la valeur ajoutée afin de se différencier des poids lourds.

hand-of-god-1383050-640x4803. Le haut de gamme, du S au XXL

Disponible, ininterruptible, sans limite perceptible car il peut s’étendre en volume de stockage et puissance de calcul. C’est celui qui correspond le mieux à la métaphore de l’informatique dans les nuages que suggère la publicité.

Malgré tout il est construit sur terre, donc pour un prix juste, pas forcément excessif pour qui sait choisir les bons partenaires et optimiser, votre logiciel, l’infrastructure ou vos big datas bénéficient de l’expertise et du savoir faire de spécialistes (plusieurs métiers d’informaticiens), de l’infrastructure et de la connectivité que seul un grand groupe peut mettre en oeuvre. Donc les offres de cloud haut de gamme ajoutent la garantie de disponibilité et d’intégrité au programme : multi-site et pas que multi-hyperviseur, avec sauvegarde managée, stockage redondant et un plan de continuité d’activité pour respecter vraiment les cinq neufs de la plaquette commerciale.

Chez les pure players, seul les très gros hébergeurs (nationaux ou internationaux) disposent vraiment de l’ensemble des ressources pour proposer des offres haut de gamme, et couvrir les pires scénarios concernant leur propre fonctionnement. Les opérateurs commercialisent eux aussi des offres haut de gamme, en s’appuyant sur leurs nombreux datacenters historiques, et la connectivité réseau inter-opérateurs dont ils disposent (en bonus: la proximité avec vos clients : les internautes abonnés adsl chez eux). Et chez les « historiques », éditeurs ou constructeurs informatiques du premier monde, on travaille d’arrache pied pour une place dans le nouveau monde digital. 

 

Finalement, qu’est-ce qui fait réellement un bon cloud ?

Toutes ces offres d’hébergement sont autant de modèles de cloud, et peuvent servir à en créer un qui correspond vraiment à votre stratégie d’entreprise (note au passage : ne pas oublier que le système d’information, y compris ses transformations, doit rester aligné avec l’entreprise).

Donc le plus difficile est probablement de ne pas se perdre en route, de savoir quel est votre objectif qualitatif, à court ou moyen terme, avant de choisir un prix, une plate-forme (xAAS) ou un fournisseur.

A ce jour, il semble au moins nécessaire d’atteindre le niveau de qualité, de performance et de fonctionnalités qui sont imprimés dans la conscience collective, à savoir un mode de fonctionnement où tout est fiable et quasi illimité. Il faut donc prévoir un budget en rapport avec ses enjeux , et valoriser les ressources humaines en les faisant évoluer sur la durée. Car même dans le cloud, un système d’information n’est toujours que le résultat de compétences informatiques.

L’étude sur mesure d’une combinaison de performance et d’élasticité vous permettra de faire les bons choix en matière d’architecture cloud. De son côté l’exigence de qualité de service vous guidera vers les prestataires-hébergeurs capable d’accompagner vos informaticiens et vos projets.

people-office-group-team

AWS : bonne nouvelle les datacenters d’Amazon bientôt en France

C’est une bonne nouvelle d’un point de vue utilisateurs, car le rapprochement en région parisienne plutôt que Dublin ou Francfort signifie moins de temps de transit, moins d’interconnexions d’opérateurs.
D’autant que de nombreuses offres et sites Web sont hébergés dans les datacenters historiques Américains. 

Ceci dit, le cloud d’Amazon, AWS, appartient toujours à une société Américaine, donc patriot act et access possible pour les autorités US.

Reste à voir à quel tarif Amazon placera les datacenters Français (plus ou moins cher que l’Irlande ?)

Ça fait quand même d’AWS, leader du cloud public, une option de plus dans le portefeuille de solutions.
Et, c’est aussi un plus car il sera alors possible d’exiger de vos fournisseurs hébergeant leur plate-forme dans AWS de localiser votre instance en France…

AccessURL.com un nouveau moyen de partager ses identifiants : bien ou mal ?

Dans la série faites ce que je dit, pas ce que je fais, bienvenu à AccessURL !

capture-accessurl

Ce service, qui repose sur un plugin Chrome (uniquement), propose de partager en toute sécurité votre accès à des sites web privés.

Exemples : Votre abonnement sur LeMonde.fr, l’extranet de votre fournisseur que tous vos collègues voudraient utiliser, Netflix ou autres services de streaming vidéo servis chauds.

 

Un site protégé, un service de partage gratuit, un tiers… Qu’est-ce qui pourrait mal de passer ?

En entreprise déjà c’est une faute, vous avez signé un règlement intérieur ou la charte informatique, et il est bien possible la nature même de votre métier fasse de vous un collaborateur informé, qui a le devoir de protéger les données et les accès. Donc au mieux ça passe inaperçu, l’IT vous fait passer un message bienveillant, ou un incident se produira et…


À titre personnel
« je fait ce qui me plaît », et il est bien possible que vous ayez raison car le site que vous détournez commencera probablement par un avertissement de sécurité puis une suspension de compte (pour double connexion depuis plusieurs adresses IP publiques, pour activités suspectes) mais y réfléchira à ceux fois avant de vous résilier…  La mauvaise presse (plaintes sur les réseaux sociaux pour incompréhension), le coût de recrutement de nouveaux clients, la concurrence : pas simple à gérer comme situation. De plus, vous n’avez pas à vous préoccuper d’Hadopi, ça ne les intéresse pas.

Car si le prêt de compte personnel est interdit dans les petites lignes du contrat, vous ne l’avez pas lu d’une part, et d’autre part AccessURL fait tout pour que cela ait l’air tout à fait naturel et facile à faire. Donc autorisé, donc légal en apparence, puisque aujourd’hui on s’en tient souvent aux apparences.share-key-1524927-639x426

Les choses pourraient s’aggraver, si à la manière des forums de partage et téléchargement qui font payer à l’acte avec du micro-paiement, vous sous-louez l’accès à un abonnement ou à du contenu protégé.

Ceci dit, dans les conditions d’utilisation, AccessURL indique clairement collecter des informations personnelles, et se dégage de toute responsabilité en cas d’utilisation inappropriée de ce service, ou de violation de droits d’auteurs. De même qu’en cas de perte financière ou de fuite de données, y compris si le propriétaire d’AccessURL est prévenu d’un incident ou d’une procédure, vous n’êtes pas couvert.

 

Regardons AccessURL.com d’un peu plus près

magnifying-glass-1195481-639x720D’après de simples informations publiques (aucun site web n’a été maltraité pendant la rédaction de cet article)…

  • Le site est chez un hébergeur qui à plutôt bonne réputation : Digital Ocean, à San-Francisco visiblement.

« 11 DIGITAL-OCE.bar2.SanFrancisco1.Level3.net (4.14.106.166)  288.779 ms »

 

 

  • Le service (ou du moins le frontal web) tourne sur un VPS, donc le trafic est capé à quelques To. Attention, « quelques To » ça fait déjà beaucoup de volume quand même, ça n’est pas ridicule, mais c’est une limitation et un choix économique.
Site http://www.accessurl.com Netblock Owner Digital Ocean, Inc.
Domain accessurl.com Nameserver ns-cloud-e1.googledomains.com
IP address 45.55.24.192 DNS admin cloud-dns-hostmaster@google.com
IPv6 address Not Present Reverse DNS unknown

 

  • Pour un site qui met en avant un haut niveau de sécurité et de confidentialité, il aurait été préférable de masquer la version du serveur web, et le système d’exploitation. A moins bien sur que ces informations soient forgées pour induire en erreur.
Netblock owner IP address OS Web server Last seenRefresh
Digital Ocean, Inc. 101 Ave of the Americas 10th Floor New York NY US 10013 45.55.24.192 Linux nginx/1.10.0 Ubuntu 27-Sep-2016
  • Et il serait utile d’affiner les configuration d’ngnix… car tel quel le site emploie un algorithme d’échange de clés permettant l’interception des communications (man in the middle) type Logjam. Plutôt gênant en environnement hostile, mais bon, vous êtres en train de donner volontairement vos codes d’accès à un correspondant, donc pourquoi pas votre voisin de hotspot wifi aussi ?

« This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B. »

 

  • Le certificat SSL du site est bien sur émis par Let’s Encrypt. Donc gratuit, et d’une durée de vie courte (renouvelé automatiquement par un automate). Ça n’est pas un problème en soit, mais ça donne une idée des moyens investis sur la sécurité.
certif-letsencrypt-accessurl

 

  • Les informations sur le propriétaire du domaine accessurl.com sont masquées, impossible donc d’entrer en contact « directement » avec le propriétaire en dehors de l’adresse email de support indiquée sur le site lui même.
Administrative Contact Information:
Name Contact Privacy Inc. Customer 124788088
Organization Contact Privacy Inc. Customer 124788088
Address 96 Mowat Ave
City Toronto
State / Province ON
Postal Code M4K 3K1
Country CA
Phone +1.4165385487
Email seis1ecfm@contactprivacy.email

Tout ça n’est pas très rassurant, mais dans l’absolu il n’y a rien de bien extraordinaire ou absolument critique qui ressorte (à cette profondeur d’analyse).

 

Quelques questions à se poser

Comment AccessURL gagne-t-il sa vie ?

  • antique-cash-register-1501597-639x426De la publicité ? à priori non.
  • En revendant des informations personnelles ? peut-être.
  • En revendant vos comptes privés ? ça serait suicidaire, mais pas impossible.
  • Rien en attendant d’avoir atteint une masse critique, puis passage en mode « régie publicitaire » comme beaucoup de services gratuits ?
  • Rien en attendant une proposition de rachat par un plus grand éditeur ? possible.

La réponse est importante, car elle conditionne la viabilité de ce service tout autant que sa confidentialité.

Comment ça marche ?

Voilà une tentative d’explication et de déduction, sans avoir fait de reverse engineering (à peine surveillé les flux), en sachant qu’AccessURL déclare se baser sur les cookies de session, et ne pas fonctionner en mode navigation incognito… cf. son site web.

On peut imaginer que quand vous êtes connecté à votre site privé, et que vous demandez la création d’un lien de partage au plugin, le cookie de session que vous avez (et qui est légitime) est chiffré et envoyé chez accessurl.com. Le chiffrement étant déclaré être de l’AES, c’est un algorithme symétrique donc une « clé » (mot de passe) seule permet à la fois de chiffrer et déchiffrer les données. Simple et efficace pour ce niveau de besoin de protection des données.

La clé de chiffrement est encodée dans l’URL généré pour le partage de l’accès, ainsi que l’identifiant du cookie chiffré à récupérer sur accessurl.com. Puisque AccessURL déclare ne pas avoir connaissance de la clé, ça doit vouloir dire qu’elle n’est pas envoyée sur leur serveur mais reste côté clients.

Comme c’est cet URL de partage que vous transmettez à votre correspondant (toujours côté client donc), son plugin Chrome AccessURL n’a plus qu’à intercepter cet URL télécharger le cookie chiffré, puis le déchiffrer en déduisant la clé de l’URL de partage, et ré-ouvrir une session authentifiée sur le site d’origine.

Donc le plugin doit être activé dès que le site que vous entrez dans la barre d’URL matche accessurl.com… D’après ceci je dirais que c’est Chrome qui se charge d’appeler le plugin, et pas le plugin qui traite tous les URLs que vous entrez et y recherche accessurl.com, à condition que ce soit bien implémenté par l’auteur. La différence tiens à la protection de votre vie privée, en évitant entre autres que ce plugin ne collecte tous les sites que vous visitez par exemple…

Les URLs partagés sont de cette forme :

https://accessurl.com/POrK#nq5dqb

https://accessurl.com/BMk6#io6mm7

https://accessurl.com/4WDZ#erveqy

Ce qui laisse à penser qu’ils sont formatés et découpés en deux sous chaines:

https://accessurl.com/ AAAA # BBBBBB avec AAAA un pointeur vers le cookie chiffré transmis via accessurl.com, et BBBBBB la clé de chiffrement.

 

4 et 6 caractères c’est très peu, le pointeur AAAA n’est donc peut-être pas direct (lookup, 2-3 tree), et la clé BBBBBB je crains qu’elle soit tout simplement « BBBBBB » sans artifice.

Note : un mot de passe sur 6 caractères, avec le jeu de caractères présent dans ces exemples, prends 56 millisecondes à deviner en brute-force aujourd’hui. Donc encore moins demain avec les gains en puissance de traitement.

 

Alors AccessURL.com : bien ou mal ?

balance-1172800-639x433C’est bien de constater qu’il y a toujours de la place pour l’innovation en matière de sécurité, et à voir la couverture médiatique accordée à AccessURL les internautes utilisateurs sont toujours friands de solution qui simplifient la vie, et simplifient la sécurité. Ce qui veut dire que les acteurs du web et de la cyber sécurité ont encore une bonne marge de progression, pour arriver à éradiquer le mot de passe comme moyen d’authentification, et passer à quelque chose de mieux. Le plus rapidement possible SVP…!

C’est bien aussi, car ça évite de donner par email, fichier word ou post-it ses identifiants et mots de passe à un correspondant (niveau zéro de l’échange sécurisé). Tout du moins dans un monde idéal qui ne prête pas de mauvaises intentions, ou d’implémentation fragile à AccessURL.

AccessURL est très probablement le fruit d’un one man show. Qu’il convient de saluer pour l’idée et l’implémentation car il y a un produit réel et qui fonctionne (actuellement à peu près bien, et l’intention de cet article n’est pas de descendre AccessURL).

Mais en même temps, c’est mal. Car d’après le peu d’information disponibles, on ne peut avoir aucune garantie sur la pérennité du service, sont évolution ou sa maintenance (disponibilité, sécurité opérationnelle etc), d’autant que le modèle de revenus est inconnu.

En réfléchissant aux pistes menant à des problèmes de sécurité ou des dérives d’utilisation des sites privés, j’aurai tendance à déconseiller d’utiliser AccessURL pour quoi que ce soit qui puisse vous mettre en difficulté financière ou juridique.

Il existe d’autre moyens de partager des comptes privés, notamment chez les gestionnaires de mots de passes, qui ne font pas l’économie des écarts aux conditions d’utilisation des sites privés, mais ont pignon sur rue et affichent un niveau de confiance bien supérieur…

Le point d’équilibre entre sécurité et facilité

Pourquoi est-ce si difficile de trouver le bon équilibre entre sécurité et facilité ?

Probablement parce-que, contrairement au man-standing-on-finger-jpg

principe réducteur que pose ce titre, il n’y a pas un seul point fixe d’équilibre entre sécurité et facilité d’utilisation.

Comment pourrait-il y en avoir d’ailleurs ? Chaque utilisateur, chaque métier est régit par ses propres besoins « en libertés » et sous « contraintes » de sécurité. De plus, côté client s’impose la transparence, c.a.d. la sécurité maximale et invisible pour ne pas altérer la qualité de la relation.

Et maintenant, à quelle vitesse, dans une entreprise agile, évoluent ces paramètres ?

 » Vitesse lumière Mr. Spock « 

Les contraintes

La liste est longue, prenons les grandes familles de contraintes possibles.

bibliotheque-et-livres

  • Légales, qui se déploient au gré des avancées de l’Union Européenne, puis des déclinaisons en droit local.
  • Stratégiques, à l’appréciation du comité de sécurité (ou Risk Manager, RSSI, Inspecteur/Auditeur/Contrôleur interne).
  • Systémiques, quand un ensemble d’acteur évolue dans un domaine sensible (santé, défense).
  • Réglementaires, quand le règlement intérieur ou les chartes d’usages appliquent les restrictions souhaitées par les directeurs. J’aurai plutôt tendance à classer ici les préconisations, par exemple celles de l’Agence Nationale de la Sécurité des Systèmes d’Information.
  • Techniques. Aussi surprenant que ça puisse être, quelque fois, la limitation est d’origine technique. Par exemple quand un sous ensemble du système d’information n’est pas intrinsèquement suffisamment sécurisé, et doit faire l’objet d’une mise à l’écart des accès et ressources externes.
  • Sociales, il arrive que certaines populations utilisatrices du système d’information ne soient pas à même d’apprécier les risques encourus. Alors l’entreprise, l’institution publique, est obligée de prendre des mesures de précaution, comme dans l’enseignement (utilisateurs mineurs et de tous ages).

 

Les libertés

La liberté, que l’on considère ses motivations profondes, telles que le libre arbitreabove-adventure-aerial-air, l’autonomie, le processus créatif, est dans une certaine mesure une nécessité pour la performance des entreprises. Sinon à quoi bon déployer une démarche d’entreprise agile, de transformation digitale, et vouloir être innovant sans liberté ?

Liberté nécessaire aussi car l’hyper informatisation, le sur-équipement fait que le moyen de contournement est souvent à portée de main. A moins d’avoir recours aux restrictions drastiques appliquées dans le secteur défense, à la R&D, voire chez les Opérateurs d’Importance Vitale. Exemple : abandon du téléphone mobile avant d’entrer dans la zone démilitarisée, réseaux internes et externes physiquement séparés, passerelles sous haute surveillance…

Donc ici inutile de nous lancer dans une liste, vous êtes libres de l’imaginer.

 

Les solutions ?

Actuellement, l’empilage de mesures, de couches de sécurité, de technologies de prévention, afin d’arriver à une granularité à peu près satisfaisante est franchement en train d’atteindre ses limites.

640px-swiss_cheese_model_of_accident_causation
Image par Davidmack, CC BY-SA 3.0 / Wikipedia

La preuve en est les éditeurs champions de la sécurité, qui en arrivent eux aussi à prêcher l’éducation, la formation des utilisateurs et à désigner le facteur humain comme vecteur de risque principal. Et ceux quelque soit leurs offres et les différents moyens de déploiement (on premise, cloud). Ok donc, la technologie ne suffit plus, et les fournisseurs de solution produisent d’importants efforts de R&D face aux évolutions des menaces (ransomware, APT), en étant plutôt suiveurs du moins pour le moment. Le côté positif est qu’à présent l’offre est suffisamment vaste pour outiller la problématique  (sans la résoudre durablement).

Reste que la nécessité de protection du système d’information, des données, des secrets ou de la sûreté si on pense aux processus industriels et SCADA  ne laisse aucune marge de manœuvre, et implique le déploiement du maximum de solutions que les moyens ou la raison permettent. Plus, bien entendu, les efforts de formation (des collaborateurs) et d’éducation (du grand public).

 

1789 – 2016 La prise de la Bastille

Une révolution dans le domaine de la sécurité informatique semble inévitable, car pris un par un: le firewall et l’antivirus sont dépassés. Les GPOs, les modèles RBAC … ne sont finalement qu’un ensemble de règles et outils bas niveau. Les firewall NG (IPS, Applicatifs), les HostIPS ne sont qu’une étape, déjà franchie donc quasi obsolète.

Une nouvelle étape est atteinte avec la vision globale des menaces, des vecteurs d’attaque, de leurs effets sur le

2 système d’information. Elle se matérialise dans l’offre de quelques éditeurs (FireEye).

Ce concept de clairvoyance au travers de toutes les couches systèmes, réseaux, équipements du SI ou personnels,

Ajouté d’une capacité de stockage et traitement de données massives (HP: le big data appliqué à la sécurité),

Consommés par une intelligence artificielle (IBM: Watson for Cyber Security)…

IA et Big data, voilà ce qui semble bien être l’avenir de la sécurité informatique. Ce qui, en soit, mérite une série d’articles dédiés à ce sujet…

Constructeurs, éditeurs, intégrateurs, reprenez l’initiative aux pirates, c’est à votre tour de vous lancer à l’assaut du bastion de la sécurité…!

 

 

La transformation digitale et l’IT en entreprise

Big data, intelligence artificielle, consumérisation des services IT, cloud, amasser des données, en traiter toujours plus, plus vite.
Mieux connaître pour s’adapter, devancer le marché et les attentes des clients.

C’est la voie de l’avenir ouverte par les entreprises natives dans un monde digital, c’est une opportunité pour les entreprises naturellement innovantes, c’est une transformation obligatoire voire urgente pour les autres.

Ce processus transformation à son lot de nouveaux défis humains, informatiques, sécuritaires ou réglementaires, car eux aussi sont transposés vers de nouveaux contextes, nouvelles métaphores, nouvelles compétences.

Si elle est réalisée en restant hermétique à ces considérations, via une approche superficielle ou excessive, l’entreprise se retrouve alors dans un paradoxe : à la fois plus performante et plus fragile.

L’IT si peu citée à propos de transformation digitale doit pourtant y contribuer, car elle y joue un rôle majeur, quitte à se réinventer, car où est l’IT dans une entreprise née digitale ? Omniprésente et invisible, un autre paradoxe de ce phénomène.

Faut-il alors une transformation organique de l’IT pour plus de transversalité, d’accompagnement humain et d’agilité, plutôt qu’un bastion depuis toujours numérique…!

Certainement, en réussissant une nouvelle évolution du métier pour les professionnels de l’informatique.

Mieux connaître pour s’adapter, devancer le marché et les attentes des clients (internes aussi).

Les coffres-forts numériques et les petites lignes du contrat 

 

Vos identifiants sont strictement personnels et confidentiels

Processed by: Helicon Filter;C’est tellement évident que cette petite phrase n’est plus systématiquement écrite sur les formulaires d’inscription, mais reléguée aux petites lignes des CGU (conditions générales d’utilisation).

De même que « jamais un employé de … ne vous demandera votre mot de passe ou code confidentiel ».

Prenons quelques exemples pour commencer.

 

Votre banquebank-safe-lease

Vous offre un coffre fort numérique pour stocker dans l’espace client vos fichiers importants (impôts, actes notariés etc). Comme par exemple Digiposte du CIC Quoi que peut-être moins courant ces derniers temps, les banques ont repris leur offre de location de coffre privé en le dématérialisant.

 

Votre cloud

Où l’hébergeur vous assure la Disponibilité, l’Intégrité, la Confidentialité des données hébergées. L’endroit idéal pour stocker votre fichier excel des mots de passe, ou mieux encore le coffre keepass,  pour le distribuer et l’utiliser sur tous vos appareils.

 

Votre gestionnaire de mot de passe

Au sens large : le trousseau iCloud d’Apple, ou celui de Firefox/Edge/Chrome a peut être déjà appris plus d’identifiants que vous ne le souhaitez sans vraiment vous en rendre compte.

Ou avec votre accord explicite dans la famille des gestionnaires de mot de passe spécialisés  à la keepass/1password/dashlane/lastpass… et dans ce cas pas forcément gratuitement, ce qui est déjà un mieux car vous avez explicitement passé un contrat pour cela avec une entreprise dont c’est le cœur de métier.

 

Tout le reste

Je ne vous apprends rien en disant que votre smartphone sait tout sur vous n’est-ce pas ?

Avec les apps de centralisation et stockage de cartes de fidélité type FidMe &  cie, les « cliquez ici pour mémoriser ces identifiants », et autres « rester connecté ». Plutôt léger (cookies de sessions) par rapport aux gestionnaires de mot de passe, mais avec le même objectif d’alléger votre charge cognitive.

Les petites lignes du contrat

Maintenant que vous avez la puce à l’oreille, à propos de qui peut avoir vos identifiants et mots de passe, vos références, demandez vous a qui d’autre à part vous même avez vous promis de les garder secrets et strictement confidentiel, de ne pas les transmettre à un tiers, et prendre toutes les mesures nécessaires pour ne pas les divulguer ?

Indices: tous vos fournisseurs de services, financiers, sites et institutions diverses qui ont blindé leur contrat et CGs…

Avant un clic sur « j’accepte les conditions », ou en retrouvant les CGs que vous avez déjà signé: Bonne lecture…!

 

Corollaire

Bon, bien sur, en cas de vol massif d’identifiants chez un fournisseur spécialisé dans les coffres forts numériques, difficile de vous en vouloir puisque c’est une défaillance de votre prestataire. Et plutôt que d’essayer de gérer votre stock de mots de passe seul ou avec de fausses bonnes solutions (le fichier excel) : en passant un contrat de service (abonnement payant) avec un des leaders du marché, vous avez déjà davantage de recours possibles pour prouver que vous avez pris les mesures nécessaires afin de protéger vos comptes. Donc il peut-être intéressant de ne pas comparer que le coût d’abonnement avant de souscrire, en vérifiant par exemple la réputation, l’historique des incidents avec la communication associée et les améliorations qui ont suivi, ou encore ce que propose votre fournisseur de coffre en cas d’incident.