Archives quotidiennes :

Cybersécurité, Emploi, Entreprise, Mise à jour, Patch

Quel enseignement pour la cyber-sécurité ?

Enseignement complexe et désormais stratégique, la sécurité informatique n’est pas une simple spécialisation des études d’ingénieur, mais une vaste culture qui requiert une pédagogie adaptée. Quels choix sont faits par les écoles qui forment les professionnels de demain ? (Par Richard Rey, Enseignant, Directeur-Adjoint et RSSI du Laboratoire Confiance Numérique et Sécurité – ESIEA).

Selon une étude Gartner, la moitié des entreprises mondiales serait dans l’obligation, à horizon 2018 de recourir aux services d’un professionnel pour gérer le risque informatique. La principale raison : l’avènement du Cloud et des objets connectés, dont il est, de l’avis des experts, trop facile d’exploiter les vulnérabilités. Dans ce contexte, les entreprises s’intéressent de très près aux étudiants des écoles possédant une expertise en Cyber-sécurité. La discipline est en effet sensible en raison de son double aspect ; car qui parle de sécurisation doit aussi évoquer son autre versant : l’attaque. Former des professionnels de la sécurité est une responsabilité pour les écoles d’ingénieurs et toutes ne s’y emploient pas de la même façon.

Comment enseigne-t-on aujourd’hui ?
Le véritable enseignement en sécurité informatique, c’est-à-dire doté d’intitulés spécifiques, n’existe généralement qu’en troisième année d’études d’ingénieur. À cela une raison simple : c’est à ce moment que de nombreux étudiants rejoignent les écoles après des formations bac+2, pour y poursuivre leurs études supérieures. Or, il est important de comprendre que la sécurité informatique n’est pas un enseignement comme les autres. Les écoles qui ont à cœur de former les experts de demain ne peuvent pas se contenter d’une spécialisation de fin de cursus et doivent au contraire, sensibiliser au plus tôt à ce domaine et participer à la diffusion des connaissances en matière de sécurité. Cela implique de former, non seulement des spécialistes, mais aussi des professionnels capables d’évoquer ce sujet en restant intelligibles à tous les publics.

Un enseignement indissociable d’autres enseignements informatiques
Certaines écoles choisissent, pour cela, d’aborder le sujet plus tôt, dès la première année post Bac via des exercices cryptographiques au sein de modules de mathématiques et avec des travaux pratiques orientés sécurité. En deuxième et troisième années, l’enseignement des systèmes et du réseau est là aussi, l’occasion d’évoquer des questions liées au risque : que ferait une personne malintentionnée, quels accès lui seraient possibles, etc. Pourquoi un tel choix ?
Ces exercices précoces qui incitent à adopter le point de vue d’un attaquant ou d’un adversaire, comme on le ferait dans un jeu d’échec, sont essentiels : ils font prendre conscience que la sécurité est une discipline qui concerne l’ensemble des autres enseignements. Il est en vérité difficile d’imaginer une formation pointue en sécurité informatique avant quatre années d’études supérieures. La culture qui la sous-tend est extrêmement large : maîtriser plusieurs langages de programmation, s’y connaître en architecture web, en technologies des réseaux, en systèmes (Linux, Windows, Android, MacOS), en virtualisation, en Big data, Cloud, etc. Ce qui s’avère impossible en un cycle court. Une étape essentielle consiste à démontrer aux étudiants que, parvenus à un certain niveau, 90% de ce qu’ils trouvent sur internet est souvent obsolète, incomplet, voire faux.

La sécurité informatique, une culture autant qu’une spécialisation
En troisième et quatrième année, les cours dédiés à la sécurité permettent aux étudiants, sans être encore des spécialistes, de disposer de solides connaissances, quelle que soit leur spécialisation ultérieure. Lorsqu’en cinquième année, les cours de spécialisation arrivent, on est ainsi assuré que tous les futurs ingénieurs (et pas seulement les futurs spécialistes) disposent de connaissances indispensables en matière de sécurité. À savoir que tous peuvent évoluer dans l’entreprise avec une conscience aigüe de ce qu’impliquent et signifient les risques ; lors de choix techniques, ils sauront avoir une vision d’ensemble propre à éviter les mauvaises décisions. Former à la sécurité tout au long des cinq années d’un cursus d’ingénieur, participe ainsi à une meilleure connaissance des enjeux de sécurité au sein de toutes les entreprises, et pas seulement des grands groupes.

Un enseignement soumis à confidentialité
Le cursus « sécurité » en cinquième année d’études d’ingénieur peu têtre très dense, (jusqu’à  60% d’un Mastère Spécialisé (Bac+6)) avec un tiers de cours et deux tiers de projets opérationnels, de cas concrets. Dans le cas des écoles bénéficiant de la proximité d’un laboratoire de recherche, il va de soi que les questions de confidentialité se posent très tôt. Les cas soumis par ses membres, des enseignants qui sont aussi des opérationnels, souvent mandatés par des entreprises, par l’État ou des organismes dits d’importance vitale (énergie, transports, etc.), sont confidentiels. Il arrive que l’on confie aux laboratoires et à leurs étudiants un PC, un téléphone portable, avec pour objectif de récupérer ses données, et de découvrir tout ce qui est exploitable. La sécurité réclame des profils de hackers responsables (aussi dénommés « white hats »). On comprendra que son enseignement ne peut se faire sans y adjoindre une solide formation humaine et éthique. Or il est difficile de parler d’éthique à de très jeunes gens dans de vastes promotions. Ce n’est possible qu’en petits effectifs. Plus tard dans leur cursus, des cours dédiés à ces questions les informeront du cadre juridique existant en France et en Europe, des aspects relatifs à l’organisation de la sécurité de l’État, aux agréments, réglementations, à leur histoire, etc. Comment aussi, ils peuvent être soumis, même pendant leurs études, à des enquêtes de moralité et ce que cela implique. Mais au-delà de ces informations, ce sont des valeurs et de l’intelligence qui doivent être transmises très tôt. Cela rend indispensable une formation humaine présente tout au long des études (tout l’inverse de la geek-attitude). C’est aussi une formation qui en leur « apprenant à apprendre » les prépare à l’exercice de leur métier et à une certaine humilité : tout ce que peut dire un expert en sécurité peut être remis en question du jour au lendemain. Ses connaissances demandent une constante mise à jour, (un poste d’expert en sécurité devra obligatoirement comporter 30% de temps consacré à la veille technologique). Les responsables hiérarchiques en ont bien conscience.

L’avenir de la sécurité au féminin ?
C’est aussi une des raisons pour lesquelles les écoles essaient autant d’attirer des jeunes femmes. On leur prête une plus grande maturité, et surtout, plus tôt. On remarque notamment que les entreprises, lorsqu’elles proposent des postes d’expert sécurité légèrement atypiques, qui impliquent entre autres une vision de l’orientation de la politique de sécurité, des rapports avec les fournisseurs, veulent en priorité des femmes dont elles considèrent qu’elles sont les seules à avoir la hauteur de vue nécessaire. Un autre sexisme, mais qui cette fois opère en faveur des jeunes femmes ! Est-ce dire qu’avec plus de jeunes filles, l’enseignement de la sécurité pourrait changer ? Oui.

On constate par exemple que face à une problématique technique, elles privilégient les premiers instants consacrés à la réflexion et à la construction intellectuelle. Ainsi, les solutions proposées sont plus abouties mieux « ficelées » (on parle d’élégance technologique). Il faut le reconnaître, aujourd’hui les filles sont « chouchoutées » dans les formations liées au numérique et plus spécifiquement à la cyber-sécurité ; tout est fait pour entretenir leur motivation et les convaincre que la discipline est passionnante. Seul hic : trop d’entre elles ignorent encore aujourd’hui qu’elles y sont attendues.

Adobe, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Analyse Patch Tuesday Fevrier 2016

Retour à des valeurs normales pour ce Patch Tuesday. Après un démarrage en douceur avec 9 bulletins en janvier, 12 (dont 5 critiques) sont publiés en février, cela correspond à la moyenne de 12,25 bulletins par mois observée l’an dernier.

En fait, il y en aurait même 13, mais le dernier, MS16-022, s’apparente davantage à un changement de packaging. Il concerne un package logiciel pour Adobe Flash dont la mise à niveau est assurée par Microsoft depuis 3 ans et demi sous les versions 10 et 11 d’Internet Explorer. Cette mise à jour était auparavant prise en charge par le seul avis de sécurité KB2755801. Maintenant, elle bénéficie d’un véritable bulletin. Ce nouveau format garantit pour le moins un traitement et un suivi supérieurs. Aucune des vulnérabilités décrites n’est utilisée en aveugle, mais beaucoup sont classées comme facilement exploitables par Microsoft et Adobe si bien que vous devriez les résoudre sans délai. C’est donc le bulletin MS16-022 qui est en tête des priorités de Qualys ce mois-ci.

La mise à jour d’Adobe Flash (APSB16-04) contient des correctifs pour 22 vulnérabilités, toutes classées comme étant « critiques », c’est-à-dire pouvant fournir un contrôle complet de la machine cible à l’attaquant. Les scénarios d’attaque peuvent aussi bien mettre en scène des sites Web compromis mais innocents (certains problèmes récents avec WordPress par exemple) qui redirigent vers des domaines contrôlés par un attaquant malveillant, que du Flash embarqué dans d’autres fichiers (des documents Office notamment) qui cherche un accès via la messagerie électronique. En outre, les attaquants ayant démontré l’an dernier leur intérêt pour les attaques basées sur Flash, ce bulletin fait donc partie des priorités absolues.

Le bulletin MS16-015 arrive en deuxième position sur notre liste. Il résout 7 vulnérabilités Microsoft Office dans Word, Excel et Sharepoint. Les vulnérabilités CVE-2016-0022, CVE-2016-0052 et CVE-2016-0053 dans Word sont toutes au format RTF et peuvent être déclenchées sans interaction de l’utilisateur via le volet de visualisation dans Outlook. Elles sont classées « critiques ». Je suis pour ma part étonné que Microsoft ne propose pas de facteurs de mitigation pour ces dernières et j’en conclus que les changements de configuration spécifiés dans le bulletin MS14-017 continuent de s’appliquer : Lire les courriers électroniques en texte brut dans Outlook et désactiver les fichiers RTF dans Microsoft Word via la politique de blocage de fichiers.

Les autres vulnérabilités de notre liste sont résolues dans le bulletin MS16-009 pour Internet Explorer et dans MS16-011 en ce qui concerne Microsoft Edge. Ces deux publications résolvent respectivement 13 et 6 vulnérabilités dont 7 et 4 de niveau critique. L’exploitation de ces vulnérabilités s’appuierait sur la navigation Web avec redirection vers des sites Web malveillants soit directement, soit par empoisonnement du moteur de recherche qui attire vos utilisateurs vers un site Web piégé, soit via la compromission d’un site a priori légitime, ou encore par inclusion dans un réseau publicitaire. Ce vecteur d’attaque est l’un des plus sensibles pour l’entreprise et nous recommandons de corriger ces vulnérabilités dès que possible.

En janvier Microsoft a mis un terme au support des navigateurs Internet Explorer propriétaires sur chacun de ses systèmes d’exploitation en réservant désormais les mises à jour aux toutes dernières versions des navigateurs sur chaque plate-forme. Les règles exactes sont exposées dans le document sur le cycle de vie de Microsoft, mais pour la plupart des points d’extrémité (Windows 7, 8.1 et 10) cela revient à Internet Explorer 11. Rien d’autre n’est plus supporté et les utilisateurs sont exposés à un vecteur d’attaque qu’il sera difficile d’endiguer à moyen terme.

Le prochain bulletin critique de notre liste, MS16-013, s’intéresse au Journal Windows. Un fichier malveillant avec l’extension .JNL doit être ouvert par l’utilisateur pour déclencher la vulnérabilité. Sous Windows 7, l’extension du fichier peut être dissociée de l’application pour neutraliser l’attaque. Cela se défend en raison du flux constant de patches dans les bulletins MS15-114, MS15-098, MS15-045, etc. qui pourraient être déclassés en empêchant les utilisateurs d’ouvrir ces fichiers.

Le dernier bulletin critique concerne la visionneuse de fichiers Microsoft PDF Reader. Ce lecteur est uniquement disponible sous Windows 8.1, 10 et Server 2012 et le bulletin MS16-012 ne s’applique donc qu’aux versions les plus récentes. Il s’agit d’un premier patch pour ce logiciel et il sera intéressant de voir combien d’autres vulnérabilités les chercheurs en sécurité pourront découvrir. Vous vous souvenez lorsqu’en 2012 Google utilisait sa technologie aléatoire pour s’intéresser à Adobe Reader ? Utilisez-vous la visionneuse de fichiers PDF fournie par Windows ou avez-vous adopté Adobe Reader y compris sur ces plates-formes ?

Ce Patch Tuesday comprend d’autres patches importants. Le système d’exploitation Windows lui-même est corrigé à l’aide des bulletins MS16-014 et MS16-018 tandis que MS16-016 résout la faille liée à l’élévation de privilèges via le service WebDAV, si vous exposez le protocole RDP sur Internet. MS16-017 nécessite cependant d’authentifier l’attaquant au préalable, MS16- 020 comble une faille DoS dans Active Directory et MS16-021 comble une faille du même acabit dans Radius, parmi les autres bulletins intéressants.

Comme toujours, un annuaire précis des logiciels installés permettra de décider où il est utile d’intervenir en priorité. Des mises à jour automatiques, dans la mesure du possible et par exemple sur les machines génériques des utilisateurs qui peuvent également soulager la tâche de l’équipe chargée du déploiement des correctifs. (Qualys)