Chronique Renaud Bidou – Sécurité IT : Love All, Hack All

Le quatrième point du credo des Hackers de Levy* est sans appel: seul le jugement technologique est valable.

Tout autre critère tel que la couleur, la nationalité, la religion ou l’éducation est considéré comme invalide.

Les faits démontrent cependant que nous sommes bien loin de cet idéal: hacktivisme, cyber-guerre et cyber-terrorisme sont les preuves flagrantes des entorses quotidiennes à ce commandement.

Il est néanmoins un domaine au sujet duquel les hackers ne sont pas sectaires: les technologies cibles.

En effet, il n’est pas une technologie qui échappe à la recherche de failles, qu’elles soient fonctionnelles, techniques, structurelles ou fondamentales.

Il y a bien sûr la couverture quasi-exhaustive des systèmes d’exploitation, applications et protocoles connus, avec naturellement une prime à l’innovation comme pour Windows8, HTML5 ou JSON.

Mais il serait erroné, et très grave d’un certain point de vue, de ne penser uniquement qu’à l’informatique telle que nous la connaissons.

Même si la mobilité ou le cloud nous imposent de regarder plus loin et plus haut, c’est dans la soute qu’il serait bien avisé de jeter un oeil…

Car cette machine qui détecte l’intrusion d’un insecte dans une boîte de petits pois, ce tapis roulant qui transporte et distribue nos valise à l’aéroport, ce téléphérique qui nous porte vers les cimes enneigées sont autant de mécanismes qui dépendent d’une informatique qui nous est inconnue: celle du monde de l’automatisme.

Et c’est là que l’ouverture d’esprit des hackers nous surpasse.

Ils ont compris que les deux mondes ne sont pas si éloignés l’un de l’autre en particulier parce que  les deux parlent IP, et surtout que les deux sont accessibles depuis Internet via des protocoles de couche hautes dont les spécifications sont publiques; il n’y a qu’à chercher, et c’est ce que les hackers font de mieux.

Il n’y a qu’à chercher pour trouver comment prendre le contrôle d’un système automatisé.

Et il n’y a qu’à chercher pour en trouver un système industriel connecté sur Internet et commencer à jouer avec.

C’est là qu’un point commun et une différence conduisent à une situation qui parait préoccupante.

Le point commun ? La prise en compte de la sécurité à la conception.

La différence ? Les systèmes automatiques restent en production entre 15 et 30 ans.

Cela signifie qu’un nombre considérable de ces systèmes aujourd’hui en production ont été conçus avec des concepts de sécurité qui datent du XXème siècle, soit la préhistoire dans le domaine.

Pas de firewall (ces choses là pourraient bien couper le réseau), pas de SSH (parce que çà fait 10 ans que les opérateurs utilisent Telnet et ils n’en dérogeront pas) et des mots de passe codés en dur pour la maintenance à distance.

Oui c’est littéralement qu’il fallait comprendre « il suffit de chercher » pour prendre la main sur un système industriel.

Et n’oublions pas que le hacker est avant tout un informaticien. Il est donc paresseux et cherche à minimiser ses efforts. Dans ce sens, il est également un peu directeur financier car il va rechercher le meilleur retour sur investissement.

Enfin, il est curieux et avide de découvrir de nouvelles technologies. Tous les ingrédients sont donc là pour qu’il focalise ses efforts sur ce « green field » qu’est la sécurité des systèmes industriels.

Flashback de l’époque héroïque que nous avons vécue il y a 15 ans. Une époque faite de découvertes insolites, de piratages inattendus et, pour celle-ci du moins, d’incidents industriels majeurs.

L’alternative est pourtant simple, pourvu que l’on résiste à l’appel des sirènes du ROI qui aspirent de leur plus belle voix à fournir un effort minimum pour acquérir un marché énorme.

Oui l’alternative est simple car il s’agit d’appliquer des techniques de sécurité déjà largement déployées et éprouvées dans d’autres environnements.

Changeons donc le paradigme ! Love All, Protect All.

*  La loi de Levy : Le crédo des hackers ou encore l’éthique des hackers (voir fiche Wikipedia).

———————-

Renaud Bidou est Chief Technical Officer  de Deny All (sécurité applicative)

———————-

Retrouvez toutes les chroniques en suivant le tag « renaud bidou » sur ITespresso.fr