• La traditionelle JSSI de l'OSSIR s'est tenue ce mardi 22 mai 2007 à Paris.
• Petit compte rendu de cette édition dite “2.0”.

• Dernière MAJ : 25/05/2007

• Tel était donc le thème et l'ordre du jour de cette journée.
• Ouverture du bal et des hostilités par Nicolas Ruff. Ah, non, les hostilités avaient déjà été lancées durant la présentation de la journée, la présence d'un juriste ayant engendré quelques piques et traits d'humour…

• Nicolas Ruff, Chercheur en Sécurité, EADS.

• Partant du principe que le Web 2.0, tout le monde (ou presque) l'utilise mais personne (ou peu s'en faut) ne sait ce que c'est, N. Ruff a pris le temps d'introduire les principaux concepts sous-jacents d'une manière très “Web 2.0”, c'est-à-dire en prenant le soin de bien séparer la forme - diaporama PDF en 6 pages par écran - du fond - excellent.
• N. Ruff rappelle donc que les racines du Mal du Web 2.0 remontent à 1998 et au Web Semantics, première tentative de dissocier le fond (contenu) de la forme (contenant), ce qui donna naissance à XML.
• La paternité du terme “Web 2.0” est attribuée à Tim O'Reilly qui résuma dans le désormais célèbre What is Web 2.0 ? sa vision de la chose.
• En résumé, le Web 2.0 se caractérise par une distinction entre la forme et le fond, par le fait que l'internaute, de consommateur d'informations, est devenu consommisseur¹, que le prestataire de services met le contenant - plate-forme de services technique - à la libre disposition des internautes qui le nourrissent en créant, modifiant, enrichissant, corrigeant, modérant, contrôlant, commentant le contenu. Contenu, soit dit en passant, dont la nature même s'est très largement diversifiée : texte, images, sons, vidéos.
• Le Blog est un des éléments les plus médiatisés et les plus caractéristiques de ce Web 2.0 aux côtés de YouTube/MySpace, Wikipedia, Blogger/BlogSpot/SkyBlog.
• Parmi les termes les plus emblématiques du jargon 2.0, citons AJAX, Buzz², Rating, Taging, etc.
• Parenthèse personnelle et philosophique : on pourrait se demander si ces plate-formes techniques - Google, Wikipedia, YouTube/MySpace/DailyMotion entre autres - ne créent pas une sorte d'usage unique du Web comme il y a(vait?) une pensée unique en politique et si, malgré le fait que le nombre d'utilisateurs de l'Internet a augmenté de manière exponentielle ces derniers mois, l'on n'assiste pas à une réduction de la surface d'Internet qui devient un grand désert parsemé de méga-oasis (les sites sus-cités).

• Revenons à nos moutons : les critères de classification utilisés pour différencier/distinguer les sites 2.0 sont le taux de participation de leurs utilisateurs et la réputation du site (le fameux Buzz).
• Les critères de réussite sont l'aggrégation des contenus et sa capacité à générer une valeur ajoutée supérieure à celle des éléments aggrégés prise individuellement (“Mashup”), le caractère communautaire du site (mise en réseau et gestion du réseautage), la réputation souvent acquise et entretenue par des systèmes de votes (Digg, Technorati mais aussi eBay/Amazon pour les sites marchands) et enfin, la simplicité d'usage (les “technologies Web 2.0” sont compatibles “Tous OS” et tout type de connexion Internet: PC, GSM, etc.).
• Quelques exemples de réussites 2.0 : SkyBlog (8.000.000 de blogs, 800.000.000 de commentaires, 3e site Web français), MySpace (230.000 créations de sites par jour en périodes de pointe, vendu 500 millions de dollars à Google).
• Et la sécurité dans tout ça ?
• L'utilisateur étant au coeur du Web 2.0, il n'est pas (si) étonnant qu'il soit aussi la principale cible et victime des Hackers 2.0.

• Vol d'identité numérique (ou plus si affinités) : la portée de ce type d'attaque sera démultipliée en mode 2.0.
• Le risque Juridique n'a jamais été aussi important : MonPuteaux.com vs la ville de Puteaux (enfin, son maire surtout), affaire “Petite Anglaise”, etc.
• Sans (grande) surprise ces risques sont essentiellement liés au contenu : diffamation, atteinte à la propriété intellectuelle et artistique, manipulation d'information, diffusion de rumeurs.
• Quelques exemples de manipulation de l'information : augmentation du rating sur Digg par Wired via l'achat de votes, manipulation des votes par effacement de la zone tampon utilisé par Flash pour gagner un ordinateur flambant neuf. Plus récemment et plus franchouillard : modification de la page Wikipedia sur le réacteur EPR durant le débat Royal/Sarkozy.
• Fuite d'informations : une fois divulguée/diffusée, une information n'est plus récupérable sur Internet. Nicolas cite le cas de la clef de chiffrement AACS (Advanced Access Content System) des HD-DVD. On pourrait discuter du caractère réellement nouveau et 2.0 de cet exemple qui n'est pas sans rappeler le cas du code source de PGP (qui fut lui aussi diffusé sous forme de t-shirts).

• Techniquement, quels sont les enjeux/nouveautés du Web 2.0 sur la sécurité ?

• Le Web 2.0, techniquement, et très grosso modo, pourrait se résumer à AJAX et JavaScript saupoudrés de Flash et QuickTime.
• D'un point de vue architectural et logique, rien n'a vraiment changé côté Serveur. Côté Client, par contre…
• De client léger, le navigateur tend à devenir client lourdingue lourd qui se doit de supporter moult formats de fichiers multimédias et s'alourdit s'enrichit de moult plugins.
• Surtout, on déporte sur ce navigateur des traitements et des données dont on se demande parfois ce qu'ils y font. La seule mesure de sécurité embarquée dans le navigateur est le Same Origin Policy qui contextualise a minima les opérations.
• JavaScript, longtemps vu comme un langage de “scriptounes”, est plus puissant qu'on ne le pense et permet plus de choses que ce que l'on aurait cru souhaité autorisé. A titre d'illustration : YouOS, un OS en JavaScript.

¹ Consommateur + Fournisseur. Je revendique la partenité et endosse l'entière responsabilité de ce barbarisme.

² Le mot s'écrit Buzz avec 2 “z” mais se prononce Buzzzzzz avec 6.

• Me Eric Barbry, Avocat au Barreau de Paris.

• L'importance des risques juridiques liés au Web 2.0 ayant été largement mise en avant lors de la présentation d'introduction, il fallait bien un juriste pour les qualifier. Cette tâche revint à Me E. Barbry, directeur du pôle Communications électroniques & Droit du cabinet Alain Bensoussan, après un bizutage en règle.

• Quoi de neuf sous le soleil 2.0, juridiquement parlant ?
• En résumé : très peu de choses. Mais développons.
• Pour Me Barbry, le Web 2.0 n'est pas une vraie révolution, les problèmes (“affaires” en langage d'avocat) viennent du business. Parce que, nous rappelle Me Barbry, les grosses réussites du Web 2.0 sont aussi - et avant tout ? - des réussites financières. (eBay : plusieurs milliards de dollars de transactions.)
• Trois défis doivent être relevés : Sécurité - Identité - Responsabilité.
• Identité
• Le vol d'identité numérique n'existe pas en Droit. Plus clairement : tant qu'il n'y a pas infraction ou délit commis sous une identité numérique volée/usurpée, il n'y a pas matière à poursuite. Qu'est-ce qu'une identité numérique 2.0. : un avatar 2nd Life ? Une adresse électronique ? Un identifiant MSN ? Un couple login/password ?
• Responsabilité
• Qui est responsable ? Dans le Web 1.0 les acteurs étaient au nombre de trois : fournisseur d'accès, hébergeur, éditeur et les responsabilités entre ces trois acteurs clairement définies.
• Dans le Web 2.0 on a au moins 5 acteurs : fournisseur d'accès, hébergeur technique, prestataire de services (Ex.: Wikipedia, Blogger), Auteur, Visiteur. Qui est responsable ? Le fournisseur d'accès : quasiment jamais. L'hébergeur : il a un devoir d'intervention sur plainte/dénonciation. L'auteur ? Le visiteur ? Me Barbry résume lapidairement “tous coupables !?” En nuançant/précisant : le juge se retournera prioritairement vers celui/celle qui pourra financièrement assumer.
• Ces nouveaux acteurs engendrent des nouveaux modes et formes de gestion : gestion de la modération, gestion de la réputation.
• On identifie 4 dimensions : technique, humaine, juridique, auto-régulation.
• Me Barbry rappelle l'existence d'un Droit autonome de la Sécurité des Systèmes d'Information, dont le corpus se constitue des lois dites : STAD (Godfrain), LSQ, LSI, LSF, LCEN, Perben 2, Sarkozy 1, de conventions : Budapest, Union Européenne et de normes : ISO 27001.
• En matière de jurisprudence, il ressort de l'affaire IBM/Flammarion (Cour d'Appel de Paris, 12 juillet 1972) que l'informatique est un produit dangereux, l'obligation d'information des utilisateurs est ainsi renforcée. Il peut y avoir engagement de responsabilité en absence de toute information des utilisateurs. Dans les faits cela doit se traduire par la signature de charte d'utilisation de l'outil informatique par les salariés de l'entreprise, par exemple. Sous peine de voir engagée la responsabilité de l'entreprise en cas d'infraction (Cf Affaire Lucent / Secota).
• Quelques cas “exemplaires” :
• Kitetoa c/ Tati : l'entreprise doit sécuriser ses données.
• Lucent c/ Secota : l'entreprise est responsable de l'utilisation faite par ses salariés de l'outil informatique et des accès à Internet.
• Nikon : la correspondance électronique privée des salariés est protégée.
• En résumé, le Droit civil était à peine adapté au Web 1.0, il est has been à l'ère du Web 2.0.
• Sur le plan pénal :
• Web 1.0 vs Web 2.0 :
• Intrusion vs Accès Libre
• Altération de données vs Droit de modifier
• Coupable identifié vs Tous coupables
• Victime vs Qui est la victime au fait ?
• Autres domaines à creuser : définition et Droit de l'identité numérique (Doit-on aller vers une carte nationale d'identité numérique ?), droits des profils Utilisateur.
• Nouveaux acteurs : RSSI, CIL (Correspondant CNIL) mais aussi modérateur, déontologue.
• Gros chantiers encore en friche : la gestion des logs et de la traçabilité, avec son “pendant” à savoir la dénonciation, et gestion de la preuve.

• En un temps record et sans trop déborder sur le temps qui lui était imparti, Me Barbry a mis en évidence et en perspective les vraies questions sans réponses (jusqu'aux premiers cas qui feront Jurisprudence) véritablement claires, questions qui nous concernent tous et qui ne sont pas vraiment liées au seul Web 2.0.

• Renaud Feil, Consultant en Sécurité, HSC.

• L'après-midi débute par une présentation technique et de qualité.
• Le Web 2.0 se caractérise par un déplacement de la logique applicative du serveur vers les clients à travers des technologies comme JavaScript et Flash.
• Il n'y a quasiment aucune sécurité côté Client, l'attaquant pouvant à loisir et à sa guise observer/manipuler les traitements (analyse du code source JavaScript par exemple) et les données (parfois sensibles : données d'authentification par exemple) qui y sont stockés.
• Or le navigateur est l'élément le plus critique, le plus faible et le plus exposé de la chaîne applicative 2.0.
• L'aggrégation de contenus provenant de serveurs tiers peut également engendrer des risques, en cas de compromission d'une source d'aggrégation (aggrégation de vulnérabilités ?). Nicolas Ruff avait cité le cas d' “Automatic Google Sign-out”.
• Autre caractéristique technique du Web 2.0 : il est impossible de désactiver JavaScript.
• JavaScript rend facile l'interfaçage d'applications internes avec des serveurs tiers. Ces “API” (que l'on pense aux API Google ou aux Pages Jaunes) rendent aussi facile la fuite d'informations vers l'extérieur (exemple : couplage Base de données Clients et PagesJaunes.fr).
• Les vulnérabilités du Web 2.0 comprennent toutes les vulnérabilités existantes (SQL Injection notamment mais pas seulement). L'ergonomie sous-jacente et attendue des interfaces Web 2.0 peuvent inciter les développeurs à désactiver des fonctionnalités de sécurité pour ne pas gêner la fluidité de l'affichage et de la navigation.
• L'utilisation - mal comprise, mal maitrisée - de nouveaux formats de données (XML) ou de protocoles (SOAP/XML-HTTP) est également une source de vulnérabilité et de fragilité.
• Quelques exemples de vulnérabilités et failles :
• XML Poisoning, XSS 2.0 : ajout de codes dans des balises déjà ouvertes, Cross Frame Scripting.
• Les outils de développement ont également leur part de responsabilité.
• Un des exemples cités durant la présentation est symptomatique et résume (presque) tous les aspects et défis de la sécurité du Web 2.0 : une interface développée en Java et transcrite en JavaScript à l'aide de GWT (Google Web Toolkit), un changement de la logique applicative qui impacte le modèle de sécurité (les traitements côté Serveur sont exportés sur le client, les contrôles qui auraient été efficaces dans le premier cas perdent toute leur portée dans l'autre), une manipulation des données XML qui permet une élévation de privilèges, des données sensibles renvoyées au client, charge aux scripts de filtrer leur affichage en fonction du profil Utilisateur, et, touche finale, une analyse du code source qui permet de récupérer la clef de chiffrement de ces données sensibles.

• Le lien suivant complète cette présentation : Net-Square white papers and articles

• Nicolas Fischbach ,Senior Manager, COLT.

• Nicolas a annoncé la couleur : le “2.0” dans l'intitulé de la présentation était un pré-requis à la sélection pour cette JSSI.
• Ce qui ne diminua pas l'intérèt de ladite présentation…
• Plus que de Web 2.0 on parla donc de NGN : Next Generation Networks. Terme marketing qui recouvre une réalité techniquement plus “pauvre” voire appauvrie (surtout en terme de sécurité).
• De quoi s'agit-il donc ?
• De la mutation des réseaux d'opérateurs (enfin, de gros opérateurs).
• En résumé, on parle de réseau Ethernet de bout-en-bout, de DSLAM IP, de convergence 3G/4G/VoIP, d'IMS et de porosité croissante entre les réseaux VoIP et SS7 (je résume très grossièrement).
• Côté constructeurs, ça pousse au rajeunissement des matériels mais les fonctionnalités de sécurité migrent du matériel vers le logiciel. Les performances, quant à elles, font le chemin inverse au fur et à mesure que l'on active ces fonctionnalités logicielles. Devinez qui va gagner ?

• Bref, on finit par croire volontiers Nicolas qui nous prédit un avenir noirâtre, dans lequel le temps où il suffisait de décrocher son téléphone pour qu'il fonctionne ne sera qu'un bon souvenir, que les moins de 20 ans n'auront jamais connu…

• Cédric Blancher Eric Hazane, EADS.

• Jamais peut-être on n'aura autant parlé d'un absent qu'hier. Solidarité de group(i)e(s) ? Buzz 2.0 savamment orchestré ? Toujours est-il que Cédric Blancher et son blogue auront été cités à toutes les sauces et dans une présentation sur deux.
• Au passage, mea culpa, je n'ai compris qu'à ce moment là le coup du lapin…
• Cédric fut donc remplacé au pied levé par Eric Hazane qui nous parla de blogues, de flogues (Faux Blogues) et de Splogues (SPAM Blogues). Il ne manquait que les BoBlogues (Botnets Blogues) à cette panoplie des risques plus spécifiques aux blogues, en dehors des fuites d'information à l'origine desquelles ils peuvent se trouver.

• Philippe Humeau, NBS System.
• Fin des hostilités et fin de la journée sur les attaques AJAX.
• Où l'on rappelle que les attaques contre les navigateurs ne durent que ce que durent les roses le temps de la session (jusqu'à la fermeture du navigateur) mais présentent cet intérèt de ne laisser aucune trace. Et qui dit “pas de traces” dit “pas de chocolat, de délit ni de poursuites”.
• L'utilisateur peut aisément être piégé par un lien dans un blogue ou toute autre technique dérivée de l'ingénierie sociale.
• Les quelques pare-feux applicatifs capables de filtrer les codes JavaScript à la volée peuvent être leurrés et contournés. P. Humeau cite le cas de codes JavaScript chiffrés dont la clef de déchiffrement dépend d'éléments propres au navigateur ciblé (résolution d'écran par exemple).

• En conclusion, encore une bien bonne journée et une belle réussite. Les z'hasards du calendrier cette année auront fait que de cette JSSI de l'OSSIR un bel amuse-gueule à la prochaine édition de SSTIC la semaine prochaine.
• Le Web 2.0 met en évidence le fait que l'utilisateur est la cible et le point faible de la chaîne et qu'il se peut bien qu'on ait un jour - enfin - à l'éduquer et le former…
• Autre grand absent (hormis Cédric Blancher) : le P2P (certes déjà traité l'an dernier). Très Web 2.0 lui aussi : les utilisateurs fournissent le contenu, les fournisseurs d'accès les tuyaux, les prestataires de service le contenant (protocoles et logiciels), et les éditeurs… les avocats.