Compte-rendu de la JSSI de l’OSSIR sur le web 2.0 par Hervé Schauer Consultants. L’OSSIR a choisi le symbole du Web 2.0 pour la JSSI 2007 du 22 mai dernier.

Introduction au Web 2.0 – Nicolas Ruff

Après une courte introduction de Christophe Labourdette, ancien président de l’OSSIR, au cours de laquelle il annonce l’ouverture à la rentrée d’un groupe de travail à Rennes, Nicolas Ruff (EADS) dresse un panorama général du récent phénomène Web 2.0 sans aborder le côté technique qui finalement s’efface devant le changement fondamental que constitue la collaboration de masse.

Inventé par O’Reilly en 2004, le terme désigne les sites internet qui sont passés de statut de fournisseur de contenu statique à celui de fournisseur de plate-forme. Le contenu est donc généré par les utilisateurs eux mêmes, avec souvent une forte notion communautaire. Ces plates-formes donnent le pouvoir aux utilisateurs non techniques de publier du contenu (ex : les blogs), de collaborer à l’élaboration de documentation (ex : les wikis), ou encore de s’intégrer dans une structure sociale reflétant souvent les organisations de la vie réelle (ex : « networking » professionnel). Le concept d’identité et de réputation y est très important. Les informations y circulent d’une manière différente aussi, plus proche du bouche à oreilles que de la communication de masse, y sont foisonnantes (100 millions de blogs), et moins contrôlables. La convergence numérique rend peu à peu ces technologies web omniprésentes(comme le montre le récent phénomène de « mobile blogging »).

La question de la sécurité devient donc toujours plus sensible : propagation des vecteurs d’attaques par le lien social, divulgation d’informations, vol d’identité, d’autant plus que la séparation entre vie personnelle et vie professionnelle est de plus en plus floue. Cette question en pose d’autres, d’ordre juridique, dont le cadre n’est pas encore prêt (pour l’instant adapté au contexte Web 1.0, où la notion de responsabilité est moins incertaine) : poursuites de l’utilisateur, de l’hébergeur ?

Alors que les techniques et les outils ciblant les applications Web font de plus en plus parler d’eux, le Web 2.0 annonce de nouveaux risques, qui concerneront non seulement les experts sécurité, mais aussi les utilisateurs et les particuliers.

L’impact du Web 2.0 sur les aspects juridique – Eric Barbry (Alain Bensoussan Avocats)

Les discussions sur le Web 2.0 s’invitent dans les livres, la presse, les conférences, etc. C’est un phénomène qui apporte du business, de l’argent, et donc des contentieux potentiels. Les contentieux sur Internet ne sont pas nouveaux, les premières affaires en France sur le piratage d’oeuvres musicales datant de plus de 10 ans. Les lois civiles et pénales existent, mais le web 2.0 modifie leur appréhension : seule la jurisprudence permet de préciser où se situe la faute.

L’anonymat sur Internet complexifie les démarches : « Second Life » a contractualisé la confidentialité de l’identité réelle et l’AFNIC a permis l’enregistrement anonyme de domaines « .fr ». Dans ces deux cas, en cas de contentieux, il faut au préalable entamer une procédure afin d’obtenir le nom de la personne que l’on souhaite attaquer.

L’encadrement juridique de la question de l’identité n’a pas encore évolué : il n’y a toujours pas d’interdiction d’usurpation d’identité tant qu’une infraction ou qu’un préjudice n’a pas été commis.

Les utilisateurs sont naïfs car ils font confiance au système pour gérer leur propre sécurité à leur place, ce qui finit tôt ou tard en contentieux juridique avec la question de la responsabilité. Notamment avec les plates-formes de gestion de contenu, les définitions classiques « 1.0 » de l’éditeur, de l’hébergeur, et du fournisseur d’accès, sont rendues caduques. L’entreprise est fournisseur d’accès, le bloggueur à la fois éditeur (il rédige son billet) et hébergeur (il accueille des commentaires, parfois anonymes), il autorise les modifications, il modère parfois… Les définitions pénales de l’altération d’un système informatique sont donc également à revoir. Que serait une altération frauduleuse et qui en serait responsable ?

Sans cadre juridique ni contractuel précis, la justice tend à répartir la faute entre les différents acteurs : RSSI, correspondant « informatique et libertés », employé, technicien, etc. En matière civile, entre l’employé et l’employeur condamnés « in solidium », c’est logiquement l’employeur qui prend à sa charge l’essentiel des sanctions pécunières… à moins que le tribunal ne crée la jurisprudence lui-même, ou que les acteurs ne se soient auto-régulés : chartes, contrats, assurances, normes, audits et journaux permettraient de définir les droits et les responsabilités.

La législation française et européenne, bien que récemment adaptée (la LCEN date de 2004), est donc déjà dépassée par les modifications du web.

Table ronde : Nouveaux services, nouvelles (ir)responsabilités ?

La présentation d’Eric Barbry touche à sa fin pour enchaîner sur une table ronde rassemblant Christophe Labourdette (CNRS), Eric Hazane (EADS), Gilles Brusson (Renault), Eric Barbry (Alain Bensoussan), et Nicolas Ruff (EADS).

Gilles Brusson aborde le sujet de la messagerie instantanée en entreprise, ayant permis des économies non négligeables et de nouveaux usages au sein de Renault. L’utilisation d’un wiki interne ne s’est pas révélée révolutionnaire, comme en témoigne la faible quantité d’informations disponibles. L’OSSIR a envisagé la mise en place d’un Wiki, mais a renoncé après considération des risques juridiques.

De même, l’usage de blogs en interne permet un nouveau moyen de communication professionnelle et de suivi. Le passage à ce type d’usages n’est pas toujours sans heurts, comme en témoigne l’exemple de Nissan, qui a ouvert un contentieux contre une de ses salariées pour diffamation. L’entreprise se doit de prévoir une charte d’usage de ces nouveaux services.

Le Web 2.0 : plus d’ergonomie… et moins de sécurité ? – Renaud Feil (HSC)

Les applications Web 2.0 utilisent des technologies déjà largement répandues, mais selon un nouveau modèle de développement qui se caractérise par :

– le déplacement d’une partie de la logique applicative vers le navigateur (traitements côté client en langage Javascript) ;

– l’intégration de nombreux formats multimédias ;

– l’agrégation de contenus provenant de serveurs tiers.

Renaud Feil présente les retours d’expérience de plusieurs audits de code et tests d’intrusion effectués sur des applications Web 2.0. Les exemples de vulnérabilités présentées sont de plusieurs types :

– Les vulnérabilités provoquées par la volonté d’ergonomie de ces applications, qui peut encourager à déplacer des traitements et des données sensibles sur le client et à supprimer certains contrôles de sécurité pour accélérer les traitements.

– Celles qui sont dues à une méconnaissance des risques liés à l’utilisation des formats de données (comme XML) ou des protocoles d’échanges (comme les « Web Services ») du Web 2.0.

– Enfin, certaines vulnérabilités ne sont pas nouvelles (comme le « Cross-Site Scripting » ou le « Cross-Site Request Forgery ») mais sont à la fois plus fréquentes et plus dangereuses dans les applications Web 2.0.

Renaud Feil a aussi souligné le rôle des outils de développement (« frameworks » ou « toolkits ») dans la sécurité (ou l’insécurité) du code produit. En présentant un exemple d’application vulnérable, il montre qu’il est facile pour un développeur peu attentif de déporter vers le navigateur des données et des traitements sensibles.

Enfin, les meilleurs pratiques pour améliorer le niveau de sécurité des applications ont été présentées, ainsi que les écueils à éviter et les limites de ces solutions.

L’opérateur passe au 2.0 : la sécurité des réseaux de nouvelle génération – Nicolas Fischbach (COLT)

Malgré la place prédominante du Web 2.0 dans l’actualité, le panorama des technologies opérateur semble plus calme. En effet, le Web 2.0 n’a pas d’impact direct sur les FAI et opérateurs, hormis une augmentation des besoins en bande passante (services vidéo comme Youtube en tête de liste).

Après une courte rétrospective sur les technologies opérateur historiques (voix, ATM, liaisons louées…) et les incidents sécurité majeurs (faille SNMP, SQL Slammer, Cisco Wedge bug…), Nicolas Fischbach enchaîne sur une des menaces les plus importantes de ces dernières années : les botnets. Il observe un amoindrissement des risques et des peurs, notamment du point de vue des opérateurs en télécommunication.

Certes, les outils d’atténuation de dénis de service répartis se sont améliorés, mais surtout d’autres moyens de générer de l’argent, moins contraignants pour les profiteurs, sont apparus. En conséquence, les opérateurs réduisent leur vigilance vis-à-vis des botnets, ce qui risque de leur réserver quelques surprises.

A chaque domaine son terme marketing à la mode. Pour les opérateurs, ce sont les NGN : Next Generation Networks. Il s’agit avant tout du passage au tout Ethernet/IP qui implique l’usage de nouvelles gammes de matériel, dont la maturité n’a pas nécessairement profité des expériences des années sombres d’Internet.

Les DSLAM IP/Ethernet concentrent toujours plus de fonctionnalités en raison des offres « triple play ». N’étant pas à l’origine conçus pour être des éléments de sécurité, la concentration des fonctionnalités ne peut que favoriser les incidents. Les plates-formes IMS (IP Multimedia Subsystem) sont un bon exemple des changements que les NGN apportent : coeur IP (SS7 sur IP), architecture (plus) distribuée (SIP / VoIP), convergence numérique… La complexité et l’ouverture ajoutées réduisent la marge de contrôle des opérateurs, devenus frileux, notamment pour des raisons de sécurité.

Blogs, un concentré de problèmes à l’usage de tous – Eric Hazane (EADS)

L’une des figures de proue du Web 2.0 est sans conteste le blogue (« blog » en Anglais). Au début, simple liste de liens, le concept s’est aujourd’hui étoffé et est devenu un ensemble d’articles de plus en plus longs, publiés régulièrement et publiquement. Plus de 100 millions de bloques sont dénombrables aujourd’hui, suivant généralement une structure similaire : billets courts, ordonnés dans le temps, avec une interface d’édition utilisant les technologies du Web 2.0, pour faciliter la publication des articles.

Par ailleurs, une nouvelle nomenclature des blogues est apparue, identifiant certaines utilisations malveillantes pouvant être faites de ce nouveau medium de communication. Cette nomenclature distingue les « flog » (pour « fake blog »), qui sont de faux blogues, souvent destinés à des opérations publicitaires à grande échelle, mais aussi les « splogs » (« spam blogs ») dont le seul but est d’améliorer le classement de sites dans les moteurs de recherche par l’usage abusif de mots clés dans leur contenu.

Enfin, il est important de mettre en place des mesures de sécurité, notamment au niveau des commentaires de blogues, en imposant l’utilisation de tests de Turing (systèmes de type « captcha »), afin d’éviter de se voir envahir par de nombreux commentaires frauduleux, produits de façon automatisée par des robots.

Passé l’injection, AJAX rentre en action – Philippe Humeau (NBS System)

La présentation de NBS System se concentre sur les actions de l’attaquant post-exploitation (une fois la vulnérabilité dans l’application Web trouvée). Les attaques réalisables actuellement sont nombreuses, et vont du vol de cookies, d’historique, de presse-papier, mais concernent aussi les écoutes (frappes clavier), les rebonds à l’intérieur du réseau d’entreprise, etc. On distingue toutefois les attaques de masse (spam) et les attaques ciblées.

Contrairement aux intrusions réseau, les intrusions web offrent un avantage indéniable pour l’attaquant. En effet le navigateur Web est une cible idéale en raison :

– du facteur humain : le vecteur d’ingénierie sociale prend tout son sens dans le contexte d’Internet ;

– du facteur technique : une attaque Web va être particulièrement difficile à tracer, laissant peu ou pas de traces une fois le navigateur fermé, et à filtrer, du fait de l’utilisation du protocole HTTP, généralement autorisé.

En résumé, l’exploitation des technologies Web 2.0 dans le cadre d’intrusions offre de nombreuses possibilités.

Rendez-vous à la prochaine JSSI en 2008 !