Mais fonder sa sécurité sur des boîtiers à tout faire aux noms bizarres (IPS, IDS, appliances, ...), c'est oublier que ces outils ne remplacement pas, et ne remplaceront jamais, l'intelligence humaine. Cette intelligence, source des menaces d'origine humaine, doit également être utilisée et développée pour sécuriser nos systèmes. Isaac Asimov n'avait pas attendu l'avènement de l'informatique moderne pour, dès 1980, alerter ses lecteurs sur les conséquences prévisibles de l'automatisme à outrance.
Ces derniers mois, différentes anecdotes ont encore une fois montré les limites et surtout les travers de l'automatisation de la sécurité. Un administrateur en université interrogea la communauté du CRU afin de comprendre pourquoi les transferts DNS ne fonctionnaient plus : le serveur maître interrompait sans raison apparente la connexion TCP par un RST arbitraire au milieu d'un transfert de zone parfaitement licite. En réalité, un boîtier IPS tout nouveau usurpait l'adresse IP de serveurs légitimes pour fermer une communication supposée, à tort, receler une attaque portant sur DNSSEC, extension protocolaire qui n'était même pas activée dans notre cas.
Si vous n'avez pas reçu la dernière lettre mensuelle HSC et que votre messagerie entrante est protégée par FortiGuard (encore faut il le découvrir), ne cherchez pas : la présence d'une URL relative à une vulnérabilité PHP (CVE-2008-4096) a été considérée comme une attaque par le boîtier suscité. Ainsi, vous n'avez pas non plus reçu les avis de sécurité de Secunia, IBM IIS, et des différents CERT ou services de veille auxquels vous auriez été abonnés, et qui vous mettaient en garde contre cette vulnérabilité. De même, vérifiez bien que les messages d'alertes de sécurité (IDS, denyhosts, nagios, snort, etc.), comportant des adresses IP ou des noms de domaines généralement peu recommandables, évitent soigneusement de passer par votre anti-spam...
Enfin, la simple présence sur un réseau d'entreprise d'une sonde totalement passive dans une configuration standard (login et password inchangés) a permis aux consultants HSC, via l'écoute du trafic "sondé", de découvrir sans effort les mots de passe du domaine Windows qui transitaient en clair et toutes les 5 minutes grâce à la messagerie non-SSL... Ne négligez jamais un équipement IP, quel qu'il soit, sur un réseau.
Ces quelques faits doivent ainsi nous rappeler que, au-delà du problème des faux positifs, l'intégration non suffisamment réfléchie dans un réseau d'une solution automatisée de sécurité risque de diminuer le niveau de sécurité global : comportement évasif, perte de traçabilité, interception d'informations de sécurité, ou, pire, trou béant dans un réseau exemplaire.
La technique est un outil. En faire usage requiert des hommes et des femmes.
Auteur : Raphaël Marichez, HSC
Continuer avec Linkedin