Si vous suivez l'actualité, vous n'avez pas pu échapper à un des retours majeurs de la conférence RSA qui vient de s'achever à Londres. À savoir les keynotes de Arthur Coviello et Tom Heiser dans lesquelles ils ont expliqué que l'attaque qu'ils avaient subie ne pouvait avoir été exécutée que par un état, considérant le degré de sophistication et les moyens mis en œuvre. Mon but n'est pas d'entrer dans une polémique stérile autour d'éléments de preuves que personne n'a vus, mais force est de constater que les informations techniques dont nous disposons ne vont pas vraiment dans ce sens et que brandir l'APT et la CyberGuerre généralisée à tout va ressemble toujours autant à la bonne excuse.

Forcément, face à l'avalanche d'attaques du même acabit, un retour aux fondamentaux semble effectivement s'imposer. Mais il ne saurait se limiter à la sécurité mise en place. Prenons RSA et ce qu'on en sait : exploitation d'une faille Flash à travers Excel pour dropper un Poison Ivy. Flash... Ce retour aux bases pourrait être, par exemple, de commencer par arrêter d'utiliser Flash dans l'entreprise. Mais pour ça, il faudrait que certaines entreprises arrêtent d'acheter des super outils web clé en main dont le fonctionnement nécessite, justement, l'utilisation de ce logiciel. Logiciel responsable de six des dix failles les plus exploitées sur les six premiers mois de l'année, d'après un rapport de Kaspersky... Ce même raisonnement s'appliquera également à des frameworks qui nécessitent l'activation de fonctionnalités connues pour leurs défaillances régulières, largement exploitées, dans certains logiciels comme les lecteurs PDF... par exemple... Ou des portails qui ne sauraient fonctionner avec autre chose qu'une version antédiluvienne d'un navigateur célèbre, non maintenu et ô combien vulnérable... Ou des middlewares qui ne savent pas uploader un fichier sans pousser une applet Java sur votre navigateur...

Je ne voudrais pas avoir l'air de prendre fait et cause pour les RSSI, mais force est de constater que quand vous avez des projets IT qui passent leur temps à accoucher de joyeusetés dans ce genre, vous avez beau être convaincu de la nécessité de réduire votre surface d'attaque, je vous souhaite bien du courage pour gérer la menace induite par des composants pourris jusqu'à l'os. Si on considère de plus la complexification sans précédent que le déploiement de tels outils introduit dans des systèmes d'information, il ne faut pas s'étonner que devant des infrastructures dont la maîtrise leur a complètement échappé, les responsables sécurité se sentent majoritairement dépassés par la tâche, comme l'indique une étude tout juste publiée. Or, devant cet état de fait, ce ne sont pas tant les RSSI que leurs dirigeants qu'il convient de sermonner. Ceux-là dont la stratégie managériale réalise l'exploit de faire ramer en sens contraire ceux qui construisent l'IT et ceux qui doivent en assurer la sécurité.

Or ce n'est pas, comme certains semblent le penser, se jeter encore plus avant dans une guerre technologique dont on constate quotidiennement les limites qui nous sauvera. De meilleurs outils aideront sans aucun doute mais ils ne suffiront pas à faire la différence. Car c'est notre approche de l'informatique en générale qui pose problème et qui a, pour paraphraser Patrick Pailloux, bigrement besoin de revenir à quelques notions fondamentales. À des valeurs simples comme l'interopérabilité[1] et plus largement le Keep It Stupid Simple[2]... Par exemple...

Notes

[1] Amusez-vous à exiger des pages web conforme XHTML pour rigoler un bon coup...

[2] Je sais bien qu'on dit plus "Keep It Simple, Stupid!", mais je préfère comme ça.