Résumé de la réunion du groupe Paris de l’OSSIR du 10 juillet 2012

Résumé de la réunion du groupe Paris de l’OSSIR du 10 juillet 2012

Comme chaque mois, la réunion du groupe de travail parisien a donné lieu à la présentation de deux sujets, puis à la revue d’actualité du mois.

Présentation de la norme NF Z42-020[1] (Peter Sylvester / ON-X)

Cinq ans tout juste après sa première intervention sur le sujet à l’OSSIR, Peter Sylvester est revenu présenter la norme NF Z42-020, qui correspond à l’aboutissement du travail des nombreux spécialistes français ayant travaillé sur le sujet de l’archivage numérique au cours des dernières années.

Un coffre-fort numérique tel qu’il est spécifié dans la norme NF Z42-020 doit garantir l’intégrité des données qui y sont stockées. Leur confidentialité est, par contre, complètement exclue du périmètre de la norme.

Après avoir rappelé le risque d’obsolescence des spécifications dans le contexte d’un projet aussi long, l’intervenant a présenté les nombreux travaux antérieurs sur lesquelles repose cette norme. En effet, le besoin de ce type de composant logiciel existe depuis longtemps, et le sujet a donc déjà été abordé à de nombreuses reprises au sein de plusieurs groupes de travail.

Le concept de coffre-fort numérique a ainsi été évoqué (à priori) pour la première fois par la NASA. À la suite d’un problème lié à la conservation de données, la NASA a constitué le premier groupe de travail baptisé OAIS (Open Archival Information System) pour réfléchir à des moyens permettant de ne plus se retrouver face à ce type de problème. Depuis, plusieurs autres groupes ont été formés, tels qu’OpenEvidence par EdelWeb, LTANS – LTAP par l’IETF ou encore l’AFNOR avec la norme NF Z42-013. En France, le besoin de coffre-fort numérique apparait même dans le Code Civil (L1316-1), ainsi que dans le RGI ou le RGS.

En France, cette problématique est apparue aux environs de 2003 au sein de la FNTC, de l’APROGED ou encore de la FedISA. Des premières spécifications fonctionnelles ont été rédigées dès 2006, mais pour différentes raisons, ces dernières ont été réécrites intégralement pour les simplifier en 2011. À la fin du mois de juin dernier, le texte de 23 pages était normalisé sous la référence NF Z42-020.

Après cette première introduction sur le contexte de rédaction et de normalisation des spécifications, Peter a présenté dans les grandes lignes le modèle client/serveur et les quelques fonctions/services définis dans la norme. Finalement, la présentation s’est conclue par le futur de la norme. Actuellement, plusieurs éditeurs qui s’étaient impliqués dans le travail de spécification ont annoncé vouloir rendre leurs produits conformes à la norme. Par ailleurs, la certification devrait être envisagée d’ici la fin de l’année, ainsi que la standardisation au niveau international.

SLIDES

Encadrement des prestations de sécurité, retour d’expérience (Olivier Dembour / ARJEL)

Olivier Dembour de l’ARJEL, l’Autorité de Régulation des Jeux en Ligne, est ensuite venu présenter le retour d’expérience de l’autorité en matière d’encadrement de prestation de sécurité de haut niveau. La présentation a débuté par un rappel du contexte : le rôle de régulateur de l’autorité. En effet, le 12 mai 2010, la loi 2010-476 ouvrait à la concurrence les jeux de hasard en ligne. Pour cela, l’ARJEL délivre des agréments aux sociétés autorisées à entrer sur ce nouveau marché, dès lors que les différentes conditions prérequises sont remplies. Ces dernières sont définies au travers d’un cahier des charges et d’un dossier d’exigences techniques (DET), et sont contrôlées en partie par l’ARJEL, mais surtout par des sociétés agréées par l’autorité. L’intervenant a tout d’abord présenté les différents types de prestation à réaliser dans l’objectif d’obtenir le sésame : l’audit initial de la plateforme, l’homologation du logiciel de jeux, la certification à 6 mois, et enfin la certification annuelle. Ces différentes prestations se décomposent par la suite sous forme de tests d’intrusion externes et internes, d’audits de configuration, ou encore d’audits de code.

C’est de la grande variété des types de prestation que provient la complexité pour l’ARJEL de sélectionner les sociétés autorisées à certifier les plateformes de jeux en ligne. D’autant plus que la réalisation de ces prestations doit être d’un niveau de qualité également répartie, ceci afin de limiter l’omission de failles. En effet, une société spécialisée en audit de code peut ne pas être en mesure de certifier l’ensemble d’une plateforme si cette dernière ne sait pas faire de test d’intrusion et d’audit de configuration. En effet, l’ensemble des problèmes de sécurité ne peut pas être découvert en maitrisant une seule des compétences techniques… d’où leur complémentarité pour obtenir l’agrément de l’ARJEL.

Par ailleurs, la complexité des mesures imposées dans le cahier des charges implique l’intervention de nombreuses sociétés extérieures auprès des opérateurs, sans que ces relations ne soient supervisées par l’autorité. Parmi ces acteurs, on peut retenir les sociétés de conseil chargée de réaliser des audits de sécurité préalables à la phase d’homologation pour les besoins propres de leurs clients. L’ARJEL a donc un rôle de juge afin de ne pas être plus complaisante envers une société éditrice de jeux qu’envers un autre opérateur. Pour cela, l’autorité doit être en mesure de s’adapter aux surprises qu’elle découvre dans les différents livrables qui lui sont transmis : les rapports de conformité sur une page ou encore la « découverte » de faille inexistante telle que la présence de la date dans les entêtes HTTP retournée par un serveur web… D’autant plus que la réalisation des différentes prestations de l’autorité est soumise à de fortes contraintes temporelles. En effet, dès lors qu’un dossier est envoyé par l’un des opérateurs, l’autorité se doit légalement de donner une réponse à l’opérateur dans un délai contraint.

Le choix des sociétés habilitées à certifier les opérateurs a donc été une mission importante de l’ARJEL lors de sa constitution il y a près de 2 ans. Pour cela, l’autorité a ici aussi imposé différentes mesures aux sociétés candidates, allant de la constitution d’un dossier de candidature à la présentation des CV de l’équipe d’auditeurs, en passant par la présentation de rapport d’analyse « type » couvrant les différents types d’audit imposés par l’ARJEL, comme les audits de code, de configuration ou encore les tests d’intrusion. Ces différentes mesures ont pour objectif de permettre à l’autorité de juger de la pertinence la candidature. Il est en effet impossible pour l’ARJEL de tester les compétences d’un candidat dans le cadre d’une mission réelle, puisque ces dernières sont à la charge de l’entreprise demandant l’agrément. Au final, l’ARJEL a donc mis en place un filtrage des candidats souhaitant être agréés en tant que certificateurs en « aval » en jugeant leur travail sur le terrain dans un contexte réel, et non en amont, ce qui aurait été une charge trop importante pour la jeune autorité. Ce mode de fonctionnement a cependant une implication sur la délivrance des agréments. En effet, lorsqu’un certificateur est particulièrement indulgent sur un point de sécurité, l’autorité se doit alors d’être équitable avec l’ensemble des autres opérateurs de jeux, et donc d’être aussi indulgente concernant ce point spécifique à leur égard. Finalement, l’ARJEL a noté un fort besoin d’encadrer les différents certificateurs afin d’uniformiser, non pas leur mode de fonctionnement, mais leurs résultats et leurs conclusions qui pourraient avoir un impact fort sur l’obtention de l’agrément.

Enfin, Olivier a conclu sa présentation par quelques statistiques brutes afin d’illustrer grossièrement les premiers résultats obtenus après un an et demi de travail avec les certificateurs et les opérateurs. L’autorité a ainsi pu remarquer une évolution dans les profils des consultants réalisant les missions. En effet, les profils (en moyenne 3 ans d’expérience) semblent se rajeunir au cours de cette seconde année d’exercice. Le peu d’expérience des consultants ne semble pas être un frein à la qualité des missions réalisées, à partir du moment où l’équipe est constituée intelligemment autour d’un chef de projet et d’un référent technique, qui ont une vision globale des problématiques rencontrées par le métier. Même si la qualité des prestations est hétérogène, il n’en demeure pas moins que le niveau de sécurité des opérateurs a considérablement augmenté en un an de travail, ce qui n’est pas forcement le cas chez les clients plus classiques commanditant des audits de sécurité, mais qui ne tiennent en général pas compte des recommandations formulées par leur prestataire. De plus, le niveau de qualité du travail fourni par les certificateurs semble augmenter avec le temps, avec entre autres, de plus en plus de points problématiques identifiés.

Bref, les débuts de l’ARJEL semblent plutôt prometteurs, tant pour l’autorité, que pour les opérateurs de jeux en ligne. Concernant les certificateurs, les moins bons semblent avoir arrêté. Malheureusement pour l’ARJEL, les « meilleurs » certificateurs aussi, à cause d’exigences particulièrement élevées ne leur permettant pas de rentrer dans leurs frais en facturant au prix du marché. Enfin, le marché ne s’est pas trop déformé sous une concurrence déloyale de la part de certains certificateurs cassant les prix…

Revue d’actualité (Nicolas Ruff)

La réunion s’est enfin conclue par la revue de l’actualité du mois écoulé, aussi bien en matière de publication de correctifs et de découvertes de failles de sécurité, qu’en matière d’informations. Voici un extrait des informations les plus marquantes :

  • Microsoft devrait publier dans le cadre de son « Patch Tuesday » du mois d’aout un correctif visant à bloquer les certificats associés à des clefs de moins de 1024 bits, à l’exception des clefs utilisées pour signer des binaires avec Authenticode avant le 1/1/10
  • Microsoft pousse Skype « par erreur » via Windows Update vers ses clients
  • Un parti hollandais propose de légaliser le DDoS
  • Cisco pousse une mise à jour « Cisco Connect Cloud » imposant aux internautes de gérer la configuration de leur routeur personnel depuis le Cloud Cisco
  • Aux États-Unis, CrowdStrike proposerait des services de réponse à incidents offensif, à priori illégal, mais l’attaquant ne devrait pas porter plainte…
  • La fin de la mission DNS Change du FBI ou l’arrêt d’Internet, qui s’en remet finalement très bien
  • La fin du RAT (Remot Access Trojan) DarkCommet
  • Des pirates russes publient une offre d’emploi de « Senior Malware Engineer »
  • L’ANSSI publie une guide de recommandation sur la sécurité des systèmes industriels (SCADA) et des outils d’audit AD
  • Le Clussif publie son rapport des tendances 2011
  • Orange fournira des cartes SIM « NFC-ready »
  • L’Europe rejette ACTA et conclut que la revente de licence de logiciel est légale
  • Android 4.1 supportera de base les composants NFC et verra Flash disparaitre de la plateforme
  • Les leçons de DigiNotar : la sécurité déclarative ne fonctionne pas
  • AusCERT perd la trace d’un DVD envoyé par la poste à un ministère australien

SLIDES

Rendez-vous le 11 septembre prochain pour la prochaine réunion du groupe Paris de l’OSSIR.

Note

[1] Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir l’intégrité dans le temps


Cert-XMCO