lundi 8 février 2016

La cyberdéfense entre usines à gaz et rites vaudou

Il y a plusieurs années déjà, soit au "Moyen-âge du cyber" (2011), j'évoquais alors le système fédéral étasunien Einstein 3 [1]. Soit "la 3ème génération de systèmes de détection et de prévention des intrusions réseaux de niveau fédéral (techniquement et financièrement, on n'est plus du tout au niveau de la petite sonde sur un réseau d'entreprise).  Il doit permettre de réagir automatiquement en proposant la réponse adéquate face à une tentative d'accès non autorisé dans les réseaux du gouvernement américain (ministères et agences fédérales). Il s'interface également avec l'US-CERT en automatisant le processus d'alerte aux vulnérabilités." Or ce système, développé par la célèbre NSA, aurait coûté plus de 6 milliards de $ et, d'après un récent audit, ne serait en réalité ni sûr ni efficace.

Le rapport de l'audit fédéral "secret" [2] indique notamment qu'Einstein 3 se montrerait incapable de scanner 94% des vulnérabilités informatiques les plus communes, que ses fonctions de parefeu se révèleraient insuffisantes et qu'il n'aurait ni détecté ni empêché des cyberattaques (réussies) contre des systèmes d'information gouvernementaux. En outre, le système n'est opérationnel que pour seulement 5 des 23 agences fédérales majeures (hors Défense)Enfin, et c'est assurément là où le bât blesse le plus, le rapport souligne que si le système Einstein a été conçu comme un système global de cyberdéfense contre les cyberattaques de niveau étatique, les sondes et les signatures associées n'ont pas été capables de détecter de nombreuses cyberattaques plus ou moins sophistiquées de type "APT" [3].

Si évidemment des contre-feux officiels ont été allumés dans les jours suivants, arguant notamment que le système n'avait pas encore atteint ses pleines capacités opérationnelles, ces révélations sont embarrassantes. Elles illustrent combien l'un des "saint Graal" de la cyberdéfense [4], soit l'élaboration des systèmes de cyberdéfense actifs et intégrés, est loin d'être aboutie. D'autant plus lorsque l'ambition est de les opérer sur des dizaines d'entités différentes donc des centaines, voire davantage, de systèmes d'information différents ettérogènes. Aux difficultés technologiques viennent s'ajouter la complexité [5] des SI à protéger et un certain aveuglement idéologique où la technologie se révèlerait LA solution miracle à l'ensemble des problèmes. Il est à craindre que tant que le mantra des fondamentaux [6] continuera d'être superbement ignoré, rites vaudou et sacrifices de volailles s'avéreront probablement aussi efficaces qu'un système qui a déjà coûté plusieurs milliards $ !

[2] sans doute dans sa partie détaillée, moins dans celle concernant la communication adoptée
[3] http://cybersecuritynews.co.uk/audit-reveals-flaws-in-us-homeland-securitys-firewall/ et http://opensourcesinfo.org/audit-shows-department-of-homeland-security-6-billion-u-s-dollar-firewall-not-so-effective-against-hackers-2/
[4] http://si-vis.blogspot.fr/2014/05/detection-avancee-des-cyberattaques.html
[5] sont-ils tous parfaitement connus c'est à dire cartographiés et réactualisés en temps réel ?
[6] http://si-vis.blogspot.fr/2015/09/la-methode-nsa-de-blocage-dadversaire.html

Aucun commentaire: