Cette année, peut-être plus que d’habitude, les conférences étaient très orientées autour de la
sécurité offensive comme en témoignent les différentes thématiques abordées.
Exemples : Le Symposium s’est ainsi ouvert par une conférence de l’expert système et sécurité de renom,
Alex Ionescu, dont la conférence avait semble-t-il un arrière-goût de reproche autour d’une sécurité de plus en plus offensive et de moins en moins
proactivement défensive. Les grands groupes de l’informatique négligeraient-ils la mise en place de bonnes pratiques de développement et de normalisation des environnements de manière sécurisée ? Tel que A. Ionescu le précise, aujourd’hui, les moyens financiers sont davantage alloués dans la sécurité offensive, et le nombre d’intervenants comme de spectateurs au SSTIC semble confirmer cette tendance. Beaucoup d’entreprises ou d’indépendants se spécialisent dans la recherche de vulnérabilités de manière toujours plus industrialisée. Ces chasses aux vulnérabilités sont bien plus lucratives que ne l’est finalement le simple développement. Ce marché a même amené à la création de formations dédiées à la recherche et à l’analyse informatique dans le but d’y trouver d’éventuelles failles corruptibles. A. Ionescu va même jusqu’à parler d’écoles de
Fuzzingfavorisant la découverte de failles plutôt que leur résolution. Alors que l’ère du numérique amène de plus en plus de nouveautés technologiques, de moins en moins de fonds seraient alloués à la formation de bons développeurs ou à la sensibilisation à la sécurité auprès de toutes les branches de l’informatique. Partant d’un principe honnête de rétribution et de récompense, les
bug bounties deviennent le premier moyen d’investissement des grands groupes de l’industrie de l’informatique pour améliorer la sécurité de leur produit. Des millions de dollars sont ainsi distribués chaque année comme prix. Les
bug bounties ne devraient donc pas être une échappatoire censée pallier le développement de solutions pérennes et sécurisées et devraient rester des moyens utilisés en dernière instance. Si les moyens financiers pour récompenser la découverte de vulnérabilités étaient plutôt alloués à la conception et la sécurisation des applications informatiques, le schéma économique et social serait potentiellement tout autre. Il reste que la solution idéale serait de trouver un compromis entre l’investissement recherche et développement et l’investissement sur les récompenses de recherche de failles de sécurité informatique. A contrario, les
bug bounties restent tout de même un moyen efficace pour solliciter des engouements globaux sur une technologie auprès d’un large public d’informaticiens.
Une autre conférence a plus particulièrement piqué ma curiosité, celle du chercheur et scientifique
Kavé Salamatian. Il nous explique que les découvertes et travaux fondamentaux en mathématiques sont appliqués beaucoup plus rapidement aux cas pratiques qu’ils ne l’ont jamais été auparavant. L’informatique en est une des principales utilisatrices. Salamatian nous explique l’application de la
conjecture de Poincaré sur les ensembles de graphes des réseaux
BGP composant l’internet. Il nous énonce également l’application de principes géométriques (
Géométrie riemanienne, formule de
Gauss-Bonnet) au réseau internet permettant de mettre en avant certaines évolutions sur les graphes BGP et monitorer les variations d’état de l’internet grâce aux différents changements de topologie BGP. Afin d’appliquer ses recherches sur le réseau d’internet, K. Salamatian et son équipe ont mis en place une plateforme de monitoring BGP générant toutes les minutes un graphe d’
AS. Les évolutions se calculent en comparant les graphes précédent et suivant au graphe en cours d’analyse. Ces informations sont récupérées grâce à un système de collecte situé sur cette même plateforme. Composé de 35 sources de tables BGP (environ 35 routeurs BGP différents), la plateforme de collecte permet de réaliser une cartographie de l’internet grâce un à système de
snapshot des connexions en cours toutes les minutes. Une fois les calculs des évolutions réalisés, des anomalies en sont déduites. Des attaques ou des modifications BGP entraînant des variations du réseau (même infimes) peuvent ainsi être observables en temps réel. En regroupant ces données et en comparant leurs changements au cours du temps, K. Salamatian et son équipe ont pu observer des transformations du réseau BGP et d’internet provoquées par des bouleversements géopolitiques. Ces recherches ont aussi pu mettre en exergue certains goulots d’étranglement sur le réseau d’internet au niveau de pays dont les libertés médiatiques sont bridées. Appliquées à la sécurité informatique et aux réseaux, les recherches de K. Salamatian permettent de mettre en corrélation différents domaines afin d’observer des comportements et évènements macroscopiques. Les données récupérées sont des sources d’informations abondantes et peuvent poser des problèmes d’éthique concernant leur utilisation ; K. Salamatian a déjà refusé de revendre ses travaux à une entreprise comme
Palantir pour potentiellement ce même genre de crainte.
Le SSTIC, démonstration d'une sécurité à la Française
Cette année encore le SSTIC était un évènement incontournable dans la sécurité des systèmes d’information en France. Malgré une prépondérance en sécurité offensive, les intervenants et leurs présentations étaient tous de grandes qualités et montraient une sécurité à la française particulièrement active. Ayant une formation professionnelle orientée sécurité défensive, un évènement tel que le SSTIC, reste très pertinent et intéressant. La sécurité défensive se doit de rester vigilante concernant l’évolution des différentes techniques d’attaques, mais aussi des vulnérabilités mises en relief par les ingénieurs de la sécurité offensive. Adèle Restif Ingénieure Réseaux et Sécurité
