Les CERT, équilibristes du risque, dernier rempart face aux éditeurs

Octobre 2024

Dans le numérique, il existe les menaces connues : hacktivisme, crime organisé, campagnes d’ingérence, opérations d’espionnage… Mais les Equipes de Réponse aux Incidents Cyber (CERT) doivent aussi composer avec des menaces inattendues, issues de failles de fournisseurs de sécurité et de vides réglementaires et juridiques.

Si seulement le numérique bénéficiait des mêmes garde-fous que le secteur automobile … Dans un cas, les fournisseurs de matériels et de logiciels ne sont pas soumis à un cadre strict, et n’ont pas à s’engager, de façon fiable et systématique, sur leurs processus de sécurisation par défaut.

Dans l’autre, la protection contre le risque est maximale, durable, non négociable et soumise à des batteries de tests et d’homologations, dans une filière automobile strictement encadrée par les législateurs et les régulateurs.

Failles en cascades

Dans le domaine cyber, la liste des amateurismes et des malfaçons est longue comme un jour sans pain. Nombre de fournisseurs en sécurité ne manifestent guère de scrupules à livrer à leurs clients des produits reposant sur des technologies dépassées, contenant quantité de failles de sécurité et pouvant contenir des portes dérobées. En prime, ils n’assurent ni la fourniture de correctifs en temps voulu, ni une assistance technique adaptée lorsque les risques se transforment en attaques entraînant le vol ou l’altération de données, l’usurpation d’identités, la perturbation ou l’arrêt d’activités, soit autant de conséquences graves pour les organisations, les personnes, les bilans financiers…

Un exemple édifiant ? Fin 2023 et début 2024, des failles béantes dans des boîtiers VPN de l’entreprise Ivanti, notamment utilisés pour permettre les accès distants au réseau interne des entreprises, engendrent plusieurs vagues de compromissions. Or, les clients de cette société payent chaque année pour une assistance technique, des mises à jour et des correctifs. Mais Ivanti ne sut pas faire face au flux de sollicitations venant du monde entier. Ce n’était pourtant pas la première fois que leur produit était massivement compromis…

Malheureusement, la concurrence ne fait pas mieux, à l’image de Fortinet ou de SolarWinds, dont les produits de « sécurisation » souffrent aussi de nombres de vulnérabilités.

Si la zéro vulnérabilité constitue par essence un horizon inatteignable, en revanche, rien ne saurait justifier l’absence de soutien de la part des fournisseurs lorsque des crises éclatent. Comment pourraient-ils choisir de ne pas se mobiliser pour produire et diffuser auprès de leurs clients les parades nécessaires ? Pour autant, les politiques tarifaires de ces fournisseurs demeurent extrêmement prohibitives avec des augmentations tarifaires pouvant aller au-delà du raisonnable…

Les moyens de réagir

Face à ces comportements irresponsables et préjudiciables, les directions informatiques, les pôles cyber et les CERT se trouvent être le dernier rempart.

Une piste réside dans l’utilisation de produits de sécurité validés par des instances gouvernementales, telle que l’Agence Nationale de la Sécurité des Systèmes d’Information en France ou l’Office fédéral de la sécurité des technologies de l’information (BSI) en Allemagne. Mais avec un bémol : ces agences ne labellisent que des versions précises de certains produits, et pour des durées limitées.

Une autre option consiste à utiliser plus de technologies et de produits open source, documentés et disposant de communautés réactives et compétentes dans l’identification des menaces. Cependant, cela nécessite de recruter et de former des ingénieurs et des administrateurs à de nombreuses technologies, dans un métier où les compétences disponibles sont rares. Par ailleurs, changer de fournisseur coûte cher. Il faut qualifier les équipements, s’y accoutumer, les déployer sur les postes clients à grande échelle, « aligner » les systèmes de détection. De plus, en utilisant un produit open-source, l’organisation ne dispose d’aucun engagement contractuel et d’aucun fournisseur contre lequel se retourner en cas de problème. Enfin, cela n’empêche pas les risques. Ainsi, au printemps 2024, une vague de compromissions a affecté de nombreuses distributions Linux (dont Red Hat, Fedora, openSUSE, Debian, Kali, Arch Linux…). Une porte dérobée dans les bibliothèques de compression de données xz permettait à un code malveillant d’interférer avec les protocoles d’authentification et de connexion à distance, ouvrant un possible accès non autorisé à l’ensemble du système d’information…

Agir en droit

Dans le prolongement de la qualification effectuée sur des produits et des services, seule une légifération changerait la donne de façon durable et massive. Les clients privés et publics comme les instances représentatives, doivent faire pression sur les régulateurs pour inclure des clauses de responsabilité et de pénalités. Lorsque les manquements des produits de cyber sécurité sont structurels et récurrents, et que les programmes correctifs sont inexistants, insuffisants ou inopérants, il faudrait pouvoir engager leur responsabilité. Des faits récents vont dans ce sens.

Au mois de mai de la même année, le gouvernement français a publié le décret d’application de « l’obligation de signalement à l’ANSSI des vulnérabilités ‘significatives’ ». Issue de la loi de programmation militaire, cette mesure s’applique à tous les éditeurs de logiciels français ou utilisés en France. Six critères servent à déterminer si une vulnérabilité est significative : le nombre d’utilisateurs affectés, le nombre de produits touchés, le type de produits, l’impact technique de la vulnérabilité, l’exploitation active de la vulnérabilité par des acteurs malveillants, et l’existence d’un code d’exploitation.

Désormais, les éditeurs ont un devoir d’alerte, dès la découverte d’une vulnérabilité. Charge ensuite à l’ANSSI d’imposer à l’éditeur un délai pour informer les clients de la faille ou de l’incident. Ce qui semble la moindre des choses !

Mais informer ne corrigera pas le problème de fond : une attitude commerciale sans scrupule de certains fournisseurs, associée à la vente de produits parfois rapidement dépassés, voire faillibles par conception, et n’assurant pas un service de support digne de ce nom.