HSC - Technology monitoring report -

Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet

You are here: Home > Resources > Techno-Watch >

Go to: HSC Trainings

Services

			Skills & Expertise
			Consulting
			ISO 27001 services
			Audit & Assessment
			Penetration tests
			Vunerability assessment (TSAR)
			Forensics
			ARJEL
			Training courses
			E-learning

Conferences

			Agenda
			Past events
			Tutorials

Resources

			Thematic index
			Tips
			Lectures
			Courses
			Articles
			Tools (download)
			Vulnerability watch

Company

			Hervé Schauer
			Team
			Job opportunities
			Credentials
			History
			Partnerships
			Associations

Press and
communication

			HSC Newsletter
			Press review
			Press releases
			Publications

Contacts

			How to reach us
			Specific inquiries
			Directions to our office
			Hotels near our office


	Access to the content		Beginning of the report

	Description		Report on Eurosec 2002 conference of 18-20 March 2002.

	Context & Dates		Report made for our news monitoring service . The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference. 22 March 2002 - Report writing 22 March 2002 - Sending to the news monitoring service subscribers 14 January 2003 - Publication on HSC's web site

	Author		Hervé Schauer (Herve.Schauer@hsc.fr)

	Type

	Abstract & Table of content

	Related documents

	Copyright		© 2002, Hervé Schauer Consultants, all rights reserved.

Yves Randoux du GIE Cartes Bancaire introduit la conférence en dénonçant les "hackers" comme les méchants à la source de ses soucis, dans un exposé qualifié de technico-philosophique par Jean-Claude Tapia, président d'XP Conseil. La politique du GIE Cartes Bancaires est basée sur le contrôle de l'information et de la presse, afin d'occulter les erreurs conceptuelles dans ses systèmes. Ainsi il est désormais interdit de publier sur Internet comment faire une Yescard grâce à la Loi sur la Sécurité Quotidienne. Une Yescard est une fausse carte bancaire donnant toujours le code comme valide dans les terminaux de payement qui ne sont pas en ligne.
La salle, notamment par l'intermédiaire de Lazaro Pejsachowicz (France Telecom E-Business), a fait remarquer que la confiance reposait sur la vérité et la transparence, et pas sur l'autoritarisme.

Lors de la session sur la Cybercriminalité, Daniel Bertinet, commissaire de Police à l'OCLCTIC, et Pascal Bertin, au BEFTI, ont brièvement exposé leur travail de policier. Eric Barbry du cabinet Alain Bensoussan a listé les lois concernées. Virginie Prat du même cabinet a donné quelques conseils pratiques pour maîtriser l'enquête lors d'une intrusion informatique : la préservation des traces techniques pouvant aider à la preuve, l'intérêt du constat d'huissier, ne pas oublier de prévenir les prestataires concernés par lettre recommandée, déclarer à l'assureur, et penser à assurer ensuite une veille technologique. Il faut aussi connaître les autorités compétentes (BEFTI, OCLCTIC), à noter que la plainte simple permet de garder la confidentialité du dossier, mais dans tous les cas, l'appel aux autorités imposent ensuite une collaboration entière avec la police lors des auditions, saisies, etc, avec le personnel de l'entreprise à disposition des enquêteurs et de la justice. Enfin, il ne faut pas se contenter de faire un dossier de preuve, il faut aussi constituer un dossier de préjudice solide pour aller devant le tribunal.

Ses conseils pratiques oublient l'importance de l'assistance d'un expert qui outre réaliser l'enquête technique sans délai, expliquera par exemple à l'huissier quoi constater.

La session dédiée à la vie privée à débuté avec une présentation des moyens de surveillance par l'employeur de ses employés, et les moyens de ces derniers de contourner cette surveillance, par Cyril Leclerc (pseudo KALI) d'XP Conseil. Les avocats Yves Bismuth et Eric Caprioli ont tenté de distinguer les différents cas, mais la limite entre vie privée et professionnelle devient de plus en plus floue, et les obligations des fournisseurs de services restent aussi floues. Enfin Michael Corby de QinetiQ (USA) a parlé du respect de la vie privée aux USA.

Cette session n'a pas reflété la réalité américaine où le respect de la vie privée n'existe quasiment plus, voir le compte-rendu de RSA 2002 pour ce sujet.

Detlef Eckert de la commission Européenne a présidé la session sur les démarches d'évaluation en Europe.
Face au processus d'évaluation, actuellement très coûteux, très long et trop consommateur de ressources, Armelle Trotin du CESTI, a annoncé un label de sécurité qui ne sera pas un certificat, avec une évaluation mixte entre des tests spécifiques EAL1 ou EAL2 et des tests normatifs avec une utilisation allégée des Critères Communs. Son collègue anglais Robin Pizer du CESG a présenté son processus d'évaluation "fast-track". Ces idées similaires permettraient de reconnaître que le développeur est un développeur de confiance qui programme proprement avec une processus plus simple et plus rapide.
Lors des questions, sur le manque de popularisation de l'intérêt du certificat d'évaluation, Armelle Trotin a rappelé que le processus de certification devait apporter une transparence, mais en même temps qu'il fallait donner une protection à l'information, ne pas divulguer les informations sensibles et tout ce que l'on découvre sur un produit. Sur la question de l'évaluation des logiciels libres, le panel n'a pas su répondre.

Pour les participants avec lesquels j'ai discuté et moi-même, cette session a été vue comme un constat d'échec de l'évaluation. L'évaluation n'a pas encore trouvé sa place dans le marché de la sécurité, et demeure un processus obscur où la cible d'évaluation peut se fabriquer au fur et à mesure de l'échec des tests, où le produit est évalué lorsque la version suivante est déjà celle déployée, etc.
En conséquence l'évaluation tente de redescendre vers un processus moins formel avec une place plus grande à l'expertise : il en va de la survie des organismes impliqués dans l'évaluation.
A mon avis, les audits qui exploitent l'expertise, l'expérience et le savoir faire d'individus qualifiés, avec une méthodologie d'audit pragmatique et un rapport exhaustif sur les tests réalisés, apporte une transparence et une qualité à un coût qui en fait la solution idéale pour auditer la sécurité des très nombreuses applications qui sont la principale source des problèmes de sécurité dans les systèmes d'information.
En conséquence, il faudra se décider un jour à commencer par certifier les individus comme beaucoup d'autre professions l'ont choisi.

Les sessions sur les PKI ont montré les avancées réalisées par la DCSSI et les services de l'état. Frédéric Tatout du Ministère de l'industrie a présenté le schéma d'accréditation français, et surtout Loic Bournon a présenté la PKI IGC/A réalisée par le bureau conseil de la DCSSI, avec une technologie propre développée en interne. Cette autorité de certification permet d'interfacer toutes les autorités de certification étatiques qui le souhaitent, soit en jouant le rôle d'autorité racine, soit en jouant le rôle d'autorité pivot, c'est-à-dire une interface sans revendication hiérarchique fonctionnelle entre les AC. L'IGC/A est opérationnelle mais n'a pas encore d'interopérabilité signée entre Ministères car les projets sont en cours de déploiement. Une autorité intermédiaire de ce type pourrait être aussi utilisée à l'OTAN pour permettre les communications entre les pays participants. Ce projet est important car la majorité des entreprises auront à gérer une telle autorité, car la PKI qui répond à tous les besoins et résout tous les problèmes n'existe pas du premier coup. Une entreprise aura plutôt plusieurs pilotes qu'il faudra intégrer avec des considérations politiques et économiques similaires à la problématique d'un état.
Chambersign a également montré comment ils avaient répondu pour les entreprises aux exigences étatiques qui imposent l'usage d'un certificat pour la TeleTVA.

Cette session a montré le rôle moteur de l'état dans le domaine des infrastructures de gestion de clés. Beaucoup d'acteurs du secteur n'auraient pas survécu sans les projets gouvernementaux.

Pour en savoir plus :
Les documents d'aides proposés par la DCSSI :
http://www.ssi.gouv.fr/documents/igc.html

La session plénière sur la gestion de crise et les plans de continuité d'activité a été dominée par le retour d'expérience très touchant du Crédit Agricole-Indosuez, qui a perdu 69 collaborateurs dans les attentats du 11 Septembre. Christian Houdebine a bien montré l'état de choc dans lequel sont plongés les USA et l'importance des facteurs humains : le centre secours ne peut pas fonctionner lorsqu'il n'y a personne pour le faire tourner. Les chocs psychologiques et le stress sont les points fondamentaux à prévoir dans son plan de continuité en cas d'une crise de ce type.

Dans la session sur les méthodes, Matthieu Grall de la DCSSI a rappelé que l'intérêt des outils méthodologiques est d'uniformiser les choses dans une démarche cohérente et un vocabulaire commun. Il a proposé une taxinomie des méthodes dans le monde de la sécurité des systèmes d'informations.

Plusieurs sessions ont abordé des aspects plus techniques. Ben Samman (Net2s) a évoqué les risques sur les assistants personnels et les téléphones mobiles.

Daniel Hardy de Fortis Bank a montré comment l'utilisation de relais HTTP en entrée dans une plate-forme de banque en ligne, permet d'assurer une présentation uniforme et la sécurité d'applications issues de sept banques différentes dont la fusion a créé Fortis Bank. Les technologies des serveurs WWW, serveurs applicatifs et surtout d'authentification étaient très hétérogènes. Tout est masqué à l'utilisateur final qui navigue d'une application à l'autre de manière transparente, avec une hiérarchie de méthodes d'authentification et de droits associés.

Stéphane Aubert, Denis Ducamp et Nicolas Jombart d'HSC ont proposé un atelier pratique sur la programmation sécurisée. À l'aide d'un serveur et un client d'exemple, ils ont mis en avant les erreurs de programmation courantes rencontrées dans les applications sur Internet. Les exemples en langage C et en Perl sont suivis des corrections, avec à chaque fois une démonstration de l'application vulnérable permettant une intrusion, puis de l'application corrigée.

Nicolas Fischbach et Sebastien Lacoste-Seris de Colt Telecom ont expliqué en détail la sécurité des réseaux IP utilisant des équipements Cisco.

Pour en savoir plus :
La présentation sur la programmation sécurisée :
http://www.hsc.fr/ressources/presentations/traps/
La présentation sur la sécurisation des réseaux IP :
http://www.securite.org/presentations/secip/

La session de clôture a traité des approches de gestion des risques en général, indépendamment de l'informatique, pour aussi bien les attentats, les accidents, la pollution, l'intelligence économique, l'information non fiable, le blanchiment, le risque de crédit, le risque réglementaire, etc. Jean-Claude Tapia a conclu en rappelant que la politique de SSI doit s'interfacer avec les autres politiques de gestion de risque.

Hervé Schauer