• Article

Vigilance sécuritéPrincipes de sécurité quantique

Jesper M. Johansson

Il peut être amusant de lancer quelque chose d'impromptu, mais utile, dans une conversation. Cela fait déjà quelques temps que j'utilise le principe d'incertitude de Heisenberg pour expliquer les concepts de sécurité. (Les personnes qui connaissent déjà ma métaphore sur la licorne savent que j'aime recourir aux théories fondamentales d'autres disciplines pour effectuer une démonstration). Aussi étrange que cela puisse paraître,

il existe des corollaires entre les informations de sécurité et certains concepts fondamentaux des autres branches de la science.

Le principe d'incertitude de Heisenberg, qui nous vient de la physique quantique, pose l'équation présentée à la figure 1. Le principe lui-même énonce que la position d'une particule (P) et la vitesse de cette dernière (x) sont liées de telle façon que si vous augmentez la précision de la mesure de la position, vous réduisez la précision de la mesure de la vitesse. La limite relative à la précision des deux facteurs est un petit multiple fixe de la constante de Planck. Pour reformuler ce principe de façon plus intelligible, ce principe dit que vous ne pouvez pas observer avec une précision complète certains faits relatifs à une particule en même temps.

Figure 1 Principe d'incertitude de Heisenberg

Figure 1** Principe d'incertitude de Heisenberg **

Ceci se rapporte directement à la prédiction de marges d'incertitude, ce qui vous permet de prédire l'incertitude concernant l'état de deux faits relatifs à une particule. Vous ne pouvez pas (encore) prédire les marges, cependant le fait de ne pas pouvoir prédire avec certitude comment deux variables affecteront la sécurité d'un réseau informatique est important.

Vous devez également établir des compromis. Vous n'êtes pas limité par la constante de Planck en termes de sécurité informatique, mais cela ne veut pas dire que vous n'êtes soumis à aucune limite. Le principal compromis se fait entre la sécurité et le caractère utilisable ou l'utilité. Si vous mettez de côté la disponibilité pendant quelques temps (et très franchement, je crois que le personnel de sécurité ne doit s'occuper de la disponibilité qu'en cas d'attaques de déni de service) la façon la plus simple de sécuriser quelque chose est de l'arrêter. Dans ces conditions, tout piratage devient impossible... au détriment de l'utilité.

De même, en faisant abstraction du coût, vous éviterez davantage de fuites de données confidentielles en implémentant un logiciel de prévention de perte de données haut de gamme qu'en envoyant un message électronique aux employés une fois par an pour leur rappeler que les applications de messagerie instantanée ne doivent pas être utilisées au bureau. Ceci dit, votre organisation est-elle prête à payer le prix ? Et c'est ici que vous allez voir que la physique quantique est plus pertinente en termes de sécurité que vous ne l'aviez pensé.

Le chat de Schrödinger

La parabole du chat de Schrödinger démontre un concept de physique quantique apparenté, mais différent. On dit qu'Erwin Schrödinger, un physicien éminent du vingtième siècle, a eu une longue série de controverses avec Albert Einstein (un autre physicien éminent du vingtième siècle dont vous avez sans doute entendu parler) concernant le concept de superposition. Schrödinger pensait que les théories de mécanique quantique qui admettaient l'existence d'éléments avec deux états superposés étaient tout à fait absurdes.

Pour étayer son argument, Schrödinger a proposé une expérience virtuelle, dans laquelle un chat est enfermé dans une boîte hermétique contenant un poison. Ce poison est libéré dès qu'une particule subatomique radioactive (imaginaire) se désintègre.

La particule subatomique, étant sujette aux lois de la mécanique quantique, existe dans un état superposé. L'état du chat, lui aussi très atomique, deviendrait dépendant de l'état de la particule subatomique et serait donc à la fois mort et vivant. Seule l'observation de l'état du chat permettrait de définir son état de façon certaine.

Schrödinger, bien sûr, a choisi cet exemple pour illustrer à quel point les lois de mécanique quantique pouvaient être absurdes lorsqu'elles étaient appliquées à des systèmes atomiques. Néanmoins, il est généralement admis que son exemple est à la source de ce que le commun des mortels appelle l'« effet d'observation ». L'effet d'observation, bien qu'il ne s'applique pas aux systèmes subatomiques traités par la mécanique quantique, est intéressant pour nous, professionnels de la sécurité. De façon simple, ceci signifie que le fait d'observer quelque chose entraîne une modification.

Effet d'observation

Afin de mieux l'expliquer, prenons l'exemple d'une tasse de thé. Pour connaître sa température il suffit de placer un thermomètre dans la tasse. Supposons que le thé fasse 80 degrés Celsius lorsque vous mettez le thermomètre et que ce dernier ait lui-même une température de 22 degrés (température ambiante). Dès que vous placez ce thermomètre dans le thé, il absorbe sa chaleur et le thé dissipe une partie de sa température pour réchauffer le thermomètre. Enfin, le thermomètre et le thé atteignent la même température. Cependant, cette température ne sera plus de 80 degrés, et encore moins 22 degrés, mais quelque chose entre les deux. Ainsi, en mesurant la température du thé, vous l'avez modifiée.

L'effet d'observation est également pertinent pour la sécurité des informations. Dès que vous agissez pour tenter de limiter un problème de sécurité, vous modifiez de façon potentielle votre posture de sécurité, dans la mesure où vous modifiez le système. J'appelle ceci, faute de mieux, l'effet de fluidité de la position de sécurité.

Un des exemples les plus simples réside dans les dépendances de compte de service. Dans le chapitre 8 de Protect Your Windows Network (protectyourwindowsnetwork.com), j'aborde l'installation d'un service de détection des intrusions (IDS) sur vos systèmes, de façon à détecter les attaques. Cependant, le service IDS se connecte à un système central et nécessite des privilèges d'accès très élevés aux systèmes contrôlés. Dans la plupart des cas, ceci signifie que le service s'exécute au sein d'un compte de service avec des privilèges élevés.

Si l'un de ces systèmes est compromis, l'attaquant peut obtenir l'accès aux informations d'authentification du compte de service et accéder à tous les autres systèmes, tout en désactivant le service IDS. Ceci est un exemple parfait de l'effet de fluidité de la position de sécurité. En installant quelque chose pour sécuriser votre environnement, vous créez un nouveau problème de sécurité potentiel.

Les autres exemples d'effet de fluidité de la position de sécurité abondent. La description de Steve Riley, indiquant pourquoi la norme 802.1x présentait certains problèmes sur les réseaux filaires (microsoft.com/technet/community/columns/secmgmt/sm0805.mspx) est un autre excellent exemple. Naturellement, l'exploitation de pare-feu basés sur l'hôte est particulièrement souhaitable dans de nombreux environnements. Cependant, s'ils sont utilisés avec la norme 802.1x, leur combinaison rend une attaque possible alors que ce n'était pas le cas auparavant. Encore une fois, une technologie de sécurité modifie la position de sécurité de l'environnement et rend possible une attaque là où elle était impensable auparavant.

Ceci ne veut en aucun cas dire que ces mesures sont inutiles et doivent être évitées. Par contre, vous devez réfléchir aux implications des modifications en termes de sécurité à l'échelle de l'entreprise. Lorsque vous procédez à l'évaluation des risques, vous devez tenir compte de l'effet de vos actions et des mesures préventives. Lors de la circonscription d'un problème, vous ne pouvez pas vous cantonner aux contre-mesures. De façon très concrète, la sécurité est un processus. Vous devez appliquer la stratégie de défense en profondeur, tout en considérant la façon dont vos mesures défensives affectent votre position de sécurité et comment vous allez faire face aux nouvelles menaces qui émergent suite à l'application de votre stratégie.

Stratégie de renforcement en pleine maturité

J'ai travaillé sur les directives de renforcement pendant plus de 10 ans. Lorsque je reviens sur mes premiers guides, je m'aperçois qu'il ne s'agit que de listes de paramètres que, mes collègues et moi-même, pensions essentielles. La stratégie d'alors concernant la sécurité était naïve. En gros, si quelque chose était conçu pour apporter de la sécurité, ce quelque chose devait être activé. Le fait que ces fonctionnalités devaient être le plus souvent désactivées ne semblait préoccuper personne.

Enfin, j'ai découvert que pour un renforcement efficace, il fallait davantage de réflexion sur le processus de renforcement et prendre en compte les menaces qui pèsent sur le système. Cette révélation a débouché sur la liste de scénarios qui figurent dans le guide de renforcement de Windows 2000, Security Hardening Guide (go.microsoft.com/fwlink/?LinkID=22380). La progression naturelle consiste à répartir les conseils en fonction de différents niveaux de menace, ce qui est abordé dans le Windows Server 2003 Security Guide (go.microsoft.com/fwlink/?linkid=14846).

Pendant tout ce temps, je ne pouvais m'empêcher de penser qu'il était toujours possible de s'infiltrer dans un système, même si tous les conseils sont mis en œuvre. Ceci était dû au fait que des correctifs pouvaient avoir été ignorés, qu'une pratique opérationnelle laissait un accès béant ou que des logiciels non sécurisés d'éditeurs étaient installés.

En fait, les procédures de renforcement de ces deux guides n'ont pas amélioré la position de sécurité globale de façon significative. Tout ceci est dû à quelques éléments clés. En fait, le système le plus sécurisé que j'ai jamais créé (msdn2.microsoft.com/library/aa302370) n'appliquait que quatre ou cinq réglages de ces guides de sécurité, et aucun d'entre eux n'est parvenu à arrêter les attaques auxquelles ils étaient soumis. Malheureusement, les utilisateurs demandent un grand bouton bleu « Sécurisez-moi » qui renforce les systèmes de façon automatique, mais la sécurité est plus compliquée que cela.

Comment approcher les risques

Pour être protégé (par opposition à l'état fini de la sécurisation), vous devez approcher les risques de façon raisonnable. Vous devez comprendre les risques auxquels vous êtes exposé, déterminer ceux que vous devez limiter, puis comprendre comment procéder. Tout ceci ne se fait pas en sélectionnant des options.

En général, ces options de sécurité sont conçues pour des scénarios spécifiques et ne créent pas nécessairement la meilleure configuration pour votre scénario. Au contraire, ils créent un bon point de départ et sont disponibles principalement parce que le marché exige ces mesures rapides de renforcement. La plupart sont déjà activées par défaut sur les logiciels modernes. Celles qui ne le sont pas risquent d'avoir des effets secondaires significatifs.

De plus, le fait d'activer de nombreuses options risque de produire un système impossible à prendre en charge et instable qui ne peut pas exécuter les tâches à exécuter, tout simplement pour contrôler des risques qui n'ont pas encore été énumérées. L'effet de fluidité de la position de sécurité et la physique quantique nous imposent de procéder à une nouvelle analyse après la procédure de sécurisation, mais trop d'organisations ignorent ceci. En fait, elles n'analysent pas les menaces en premier lieu. Si vous commencez par analyser les menaces, vous vous rendrez compte que pour faire la différence il ne suffit pas de procéder à des restrictions anonymes sur les listes de noms de compte et les modifications globales des listes de contrôle d'accès.

Par contre, pour faire vraiment la différence, il faut déterminer si votre système doit fournir un service particulier et, dans l'affirmative, à qui, puis appliquer cette stratégie. Ce qui fait la différence, c'est de s'assurer que seuls les systèmes et les utilisateurs qui ont absolument besoin de communiquer avec vous y sont autorisés. Ce qui fait la différence, c'est de s'assurer que toutes les applications et tous les utilisateurs ont le moins de privilèges possibles. En bref, ce que fait la différence c'est d'adopter une approche raisonnable par rapport à la sécurité et de procéder à une analyse difficile, de façon à permettre à chaque système de prendre la responsabilité de sa propre sécurité.

C'est pourquoi l'approche actuelle concernant la sécurité consiste à exploiter des outils tels que l'isolation de serveurs et de domaines (microsoft.com/sdisolation), l'Assistant de configuration de la sécurité (SCW) des produits Windows Server® et les outils du Gestionnaire de serveurs pour gérer les rôles dans Windows Server 2008. Ces outils mettent à votre portée le processus de compréhension des scénarios à prendre en charge et vous aident à verrouiller vos systèmes en fonction de leur contexte opérationnel. Il est évident que ces outils ne sont pas une panacée, mais ils offrent une configuration durable qui exécute les tâches pour lesquelles vous avez acheté le logiciel.

Application de la sécurité en fonction des besoins

Ceci signifie que vous ne pouvez pas vous reposer sur d'autres entités ou de simples réglages pour assurer la sécurité de vos systèmes. Chaque actif doit être capable de se défendre lui-même, car des concepts tels que « périmètre » et « réseau interne » ne veulent plus rien dire.

La vaste majorité des réseaux organisationnels sont, au mieux, semi-hostiles. Vous devez comprendre ceci et prendre les mesures qui s'imposent, sans vous reposer sur des mesures ponctuelles de renforcement. Pour commencer, identifiez clairement vos besoins. Demandez l'avis d'autres personnes susceptibles de comprendre vos besoins.

Un invité sur un webcast a recommandé récemment aux responsables des petites entreprises de se rendre sur le site du ministère de l'intérieur des États-unis afin de télécharger un guide de renforcement pour Internet Explorer®. Pourquoi voulez-vous qu'une agence gouvernementale chargée de protéger l'armée et les institutions de protection de la sécurité nationale fournisse un avis raisonnable sur la façon de sécuriser un navigateur Web dans une petite entreprise ? Ceci est un exemple type de dérives toujours ancrées dans le domaine de la sécurité informatique. L'idée derrière ce concept est que si ces conseils sont fournis par un organisme gouvernemental prestigieux, ils doivent déboucher sur une sécurité à toute épreuve.

Ce choix se présente d'ordinaire sous forme de décision binaire : vous pouvez avoir une « sécurité maximale » ou une « sécurité minimale ». Une meilleure formulation serait entre une « sécurité maximale » ou une « sécurité adaptée ». Il n'existe pas encore de « prêt à sécuriser ».

En fait, la sécurité maximale ne s'adresse pas à tous et d'ailleurs est à déconseiller à la plupart ! Elle ne doit pas constituer un objectif ultime que vous vous efforcerez d'atteindre. Il s'agit en fait d'une configuration spécialisée pour les systèmes où des personnes risquent de mourir en cas de violation du système. Si cela correspond à votre profil de risque et de menace, recourez à la sécurité la plus élevée.

Par contre, si ceci n'y correspond pas, utilisez quelque chose de plus adapté. Il est plus que probable, que les réglages que vous pouvez configurer sont déjà définis correctement au niveau d'un profil de risque modéré par défaut. Cet état par défaut, utilisé dans la plupart des produits Microsoft actuels, offre un compromis raisonnable entre la sécurité et le caractère utilisable, l'utilité et les performances. Pour ce qui est du renforcement, ce dernier est généralement effectué à votre place.

Vous devez à présent prendre en compte d'autres étapes de sécurité. Le meilleur point de départ est le centre de sécurité TechNet (microsoft.com/technet/security) ainsi, bien sûr, que des livres tels que Windows Server 2008 Security Resource Kit.

Tout est une affaire de gestion des risques

Vous avez probablement déjà compris où je veux en venir : la gestion des risques. Le message clé du principe d'incertitude de Heisenberg est que vous devez établir des compromis. Cette partie du principe n'est pas difficile à comprendre.

Le message du chat de Schrödinger, cependant, tend à être ignoré par la plupart des personnes. Il est non seulement important d'analyser tous les aspects du problème et d'établir des compromis, mais encore vous devez prendre en compte les modifications introduites par vos solutions. Une bonne stratégie de gestion des risques analyse la façon dont ces modifications influent sur le système et détermine si ces modifications ont été implémentées dans le cadre d'une stratégie d'atténuation des risques ou pour toute autre raison.

Pertes annuelles prévisibles

La façon la plus commune de quantifier le risque, et la méthode enseignée dans la plupart des cours de certification sur la sécurité, est l'équation de pertes annuelles prévisibles (ALE), présentée à la figure 2. L'équation standard est simple. Vous déterminez la probabilité d'un incident et le coût de chaque occurrence, puis multipliez les deux valeurs. Vous obtenez ainsi le montant annuel à payer pour les incidents de sécurité. Si le coût du risque atteint une certaine valeur, vous mettez en œuvre des mesures d'atténuation.

Figure 2 L'équation de pertes annuelles prévisibles correspond à la probabilité d'une perte, multipliée par le coût de la perte par incident.

Figure 2** L'équation de pertes annuelles prévisibles correspond à la probabilité d'une perte, multipliée par le coût de la perte par incident. **(Cliquer sur l'image pour l'agrandir)

Le problème est que l'équation de pertes annuelles prévisibles ne prend pas en compte le coût de l'atténuation. Non seulement l'atténuation a un coût inhérent, mais de nombreuses mesures d'atténuation ont des effets secondaires, ce qui entraîne également un coût.

Prenons par exemple l'un des réglages de sécurité les plus courants : le verrouillage de compte. De nombreuses organisations déploient le verrouillage de compte, en apparence pour empêcher les attaquants de deviner leurs mots de passe. Vous pouvez calculer de façon mathématique la probabilité de déchiffrage d'un mot de passe par un attaquant. Si vous êtes créatif, vous pouvez également calculer le coût moyen de toute violation résultant du déchiffrage du mot de passe. Sur la base de ces deux valeurs, de nombreuses organisations ont déterminé que les pertes annuelles prévisibles sont trop élevées et ont par conséquent mis en œuvre le verrouillage de compte.

Cependant, ce type d'atténuation a un coût qui risque d'être ignoré. Il y a le coût de mise en œuvre de la mesure d'atténuation en elle-même, bien que ce dernier soit relativement minimal. Pour être précis, le calcul doit inclure également les coûts des effets secondaires qui résultent de la mesure d'atténuation.

En premier, il existe un coût associé au déverrouillage des comptes utilisateur par le service de support technique. Si un compte reste verrouillé pendant une courte période, 15 minutes par exemple, il faut prendre en compte la productivité perdue pendant cette période. Ce facteur dépend du coût de chaque incident, multiplié par la probabilité d'incidence au cours de la période donnée. Dans ce cas, vous devez multiplier le coût par le nombre prévu d'événements de verrouillage, un nombre que vos historiques sont probablement en mesure de vous fournir.

Vous devez également prendre en considération le facteur d'aggravation par l'utilisateur. Des preuves non scientifiques indiquent que les utilisateurs tendent à employer des mots de passe moins compliqués s'ils sont sujets à des verrouillages de compte, dans la mesure où ces mots de passe sont plus faciles à saisir. Par conséquent, la probabilité de l'incident que nous souhaitons éviter n'est pas tout à fait égale à zéro après avoir mis en œuvre l'atténuation.

Enfin, des vulnérabilités peuvent avoir été introduites dans le système par la mesure d'atténuation. Dans le cas du verrouillage de compte, un attaquant peut utiliser cette fonctionnalité pour désactiver l'ensemble des comptes du réseau simplement en devinant leurs mots de passe de façon inexacte et répétée. Il existe une probabilité de rencontre cette situation, ainsi qu'un coût associé à chaque incident.

En prenant tous ces facteurs en compte, il est clair que vous devez revoir votre équation de pertes prévisibles. Tout d'abord, vous devez modifier la probabilité de l'incident. La probabilité de réalisation de cet incident doit être maintenant inférieure à la situation précédente, même si elle reste légèrement supérieure à zéro. Le coût de chaque incident peut également avoir changé. À ce produit vous devez ajouter le coût de la mesure d'atténuation elle-même. Ce coût est composé du coût de mise en œuvre, plus la somme du coût annuel de tous les effets secondaires. Chacun de ces coûts annualisés est le produit de la probabilité de réalisation de l'effet secondaire et le coût de chaque incident lié à cet effet secondaire. En simplifiant un peu la présentation de l'équation, vous disposez désormais d'une équation d'analyse de risque plus précise, comme illustré à la figure 3.

L'équation améliorée de la figure 3 permet d'analyser de façon beaucoup plus précise le risque associé à un problème particulier. De nombreuses entreprises ont déjà analysé leurs risques de cette façon. Cependant, un trop grand nombre conserve toujours une vue simpliste du risque qui ne met pas suffisamment en avant la nécessité d'analyser l'impact des mesures d'atténuation. En utilisant l'équation modifiée de prévision des pertes annuelles, vous rendez cette analyse incontournable.

Figure 3 Prise en compte des coûts supplémentaires des mesures d'atténuation

Figure 3** Prise en compte des coûts supplémentaires des mesures d'atténuation **(Cliquer sur l'image pour l'agrandir)

Synthèse

Si vous ne faites qu'une chose après avoir lu cet article, ce doit être de remettre en cause les lieux communs qui sous-tendent les stratégies de sécurité. Dans le domaine de la sécurité des informations, nous souffrons le plus souvent d'une vue stéréotypée et plate du monde. Et la plupart de nos suppositions sont maintenant obsolètes.

Les attaques ont changé. Les attaquants sont désormais des professionnels, agissent pour l'argent, la suprématie nationale et par idéologie. Vous ne pouvez pas vous permettre de perdre du temps et de l'argent sur des réglages de sécurité qui ne n'apportent rien. Par conséquent, vous devez adopter une approche beaucoup plus évoluée de la gestion des risques.

Tout d'abord, il est important d'admettre qu'il faut établir des compromis à tous les niveaux. Vous ne pouvez pas tout savoir avec certitude.

Deuxièmement, vous devez comprendre que vous fonctionnez dans un système interdépendant. En introduisant des modifications de sécurité dans ce système, vous modifiez le système lui-même, ce qui signifie que vous devez l'analyser à nouveau sous cet angle.

De préférence, ceci doit se faire avant l'implémentation des modifications, car trop souvent elles ont un tel impact sur le système qu'elles font plus de mal que de bien. En utilisant mieux les outils d'analyse qui vous rappellent justement d'analyser ces modifications, il est peu probable que vous les oubliiez.

Enfin, ne sous-estimez jamais le facteur humain. Toutes vos interventions dans le domaine de la sécurité d'information doivent avoir pour objectif de permettre à l'organisation et ses utilisateurs de travailler de façon aussi sûre que possible.

Au cours d'une présentation récente, j'ai fait remarquer que je n'avais pas encore rencontré un seul utilisateur aujourd'hui qui ait acheté son ordinateur spécialement pour exécuter un logiciel antivirus. La sécurité est votre objectif principal, mais ce n'est pas l'objectif principal de l'entreprise. Les organisations qui se contentent de tolérer la sécurité parce que c'est dans leur intérêt, le font actuellement. N'oubliez pas que le groupe de sécurité des informations est là pour servir l'entreprise et non pas l'inverse. Si vous négligez ceci, les utilisateurs feront tout leur possible pour faire leur travail, même si cela implique le contournement de mesures de sécurité qu'ils ne comprennent pas ou n'acceptent pas.

Jesper M. Johansson est architecte de logiciels, chargé des problèmes de sécurité logicielle et contribue à l’élaboration de TechNet Magazine. Titulaire d'un doctorat en gestion des systèmes d'information, il a plus de 20 ans d'expérience dans le domaine de la sécurité et est MVP Microsoft dans la sécurité d'entreprise. Son dernier ouvrage s'intitule Windows Server 2008 Security Resource Kit.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.