« Les experts »…
« Les experts »: Le titre fait rêver, surtout depuis l’avalanche de tous ces feuilletons américains de policiers qui résolvent les enquêtes scientifiques de manière
irréfutable: ils envoient un bout d’empreinte par leur smartphone à l’ordinateur central du FBI et trois secondes plus tard on a l’adresse du délinquant qui s’affiche parmi des millions
d’empreintes et d’identités !
Bien entendu le délinquant est chez lui en train de regarder le site web incriminé lorsque les experts arrivent toutes sirènes hurlantes et tout finit bien sauf
pour le délinquant…
La question qui me vient à l’esprit, compte tenu des échanges epistolaires récents « aigres-doux » que j’ai lus sur les forums en sécurité, c’est quoi un « expert en
sécurité » ?
« Expert » vient naturellement de « expérience », c’est à dire l’attribut de quelqu’un qui a eu de nombreuses expériences dans son domaine. L’expert se distingue alors
du « spécialiste » qui lui a été formé dans un domaine mais qui n’a pas encore assez d’experience, ou bien du « généraliste » qui lui a été formé, mais dans un domaine trop vaste pour pouvoir être
« expert ».
Autrement dit un « expert » ne peut l’être que dans un domaine précis. Comme l’a dit mieux que moi Niels Bohr: « Un expert est un specialiste qui a fait, et qui a
appris de, toutes les erreurs possibles dans une niche donnée ».
On peut donc être un « expert en sécurité des systèmes d’information » ! A deux conditions: Il faut s’y connaître en sécurité à la fois d’un point de vue
organisationnel et technique; Et il faut avoir vu de nombreuses situations et avoir la curiosité et l’attitude d’en tirer des leçons.
Ainsi, un expert ne peut pas être dogmatique, car il sait qu’ « une vérité est vraie tant qu’on ne lui trouve pas un contre-exemple ». Un expert base donc la totalité
de ses raisonnements à partir des faits recueillis (audits, investigations) et non pas de la théorie apprise ou lue sur un sujet donné.
Cela me rappelle mes débuts comme pilote privé: Pourquoi, demandais-je, les pilotes font le tour de leur avion en tapotant l’aile ou en donnant un petit coup de
pied sur le pneu du train d’atterrissage ? En tant qu’experts de l’aviation, les pilotes vérifient mentalement que l’avion est prêt à voler. Le moindre « signal faible » dans leur inspection leur
donne l’alerte et ils vont procéder à des vérifications plus poussées. La notion de « check-list » est permanente alors qu’avec leur expérience ils pourraient thériquement s’en passer. Ainsi les
« experts » ne sous-évaleunt jamais leur propre capacité à commettre des erreurs.
Ce qui fait la différence entre un « expert » et un « spécialiste » est alors la capacité de l’expert à repérer des « signaux faibles » et de plus, à s’en tenir aux faits
constatés à travers des procédures strictes d’investigations.
La différence avec un « généraliste » se trouve sur le fait de se cantonner à une niche précise. Ainsi on ne peut être ni un « expert débutant » ni un « expert
généraliste » !
Une fois le terme « d’expert » bien défini, on va essayer de distinguer les « bons experts » et les « mauvais experts »… C’est comme les « chasseurs »: il y a les « bons
chasseurs » et les « mauvais chasseurs », quelle est la différence puisque les bons et les mauvais chassent, ou les bons et les mauvais effectuent des expertises ?!
Tout d’abord le diplôme initial ne peut pas définir et repérer le « bon expert », puisque celui-ci doit justement dépasser sa formation initiale par de nombreuses
expériences. De même le fait de s’être specialisé dans une niche ne permet pas non plus de définir un « bon expert » puisque le spécialiste peut très bien ne rien avoir appris en reproduisant
toujours la même chose pendant des années.
Le « bon expert » se trouve être alors repéré par la variété et la quantité de missions différentes effectuées dans son domaine et également le nombre d’années qu’il
y a consacrées. Il est également repéré par sa capacité à formuler des solutions, parfois originales, à des problèmes complexes.
A la fin de ce billet, vous vous demandez pourquoi je prends autant de temps pour parler des « experts » ?! Est-ce utile ?
Quelle est la richesse réelle de nos pays notamment par rapport aux pays émergents ? Ce n’est ni le primaire (agriculture, mines), ni le secondaire (industrie), ni
le tertiaire (services), -toutes des batailles perdues d’avance- mais ce que j’appelle le « quaternaire »: justement les experts !
Nous avons des populations agées -mais du coup expérimentées- qui sont notre véritable valeur ajoutée. J’ai en mémoire l’exemple de la Chine qui
compte tenu de l’amélioration du pouvoir d’achat, a voulu créer une station de sports d’hiver. Ils ont déniché « l’expert » français en aménagement de remontées mécaniques et l’ont fait venir à
grand frais en Chine pour créer ex-nihilo un village de montagne de ski… 😉
Mais cela ne répond pas à la question de la sécurité d’internet et du rôle des experts en sécurité: est-ce si facile de réperer les délinquants du Net ?
ça dépend… de l’expertise du camouflage de ces derniers ! En tous les cas le repérage de l’adresse IP est un leurre.. Par exemple, les récents piratages à la
carte bancaire consistent à imputer les achats frauduleux à un utilisateur en utilisant l’adresse IP de sa box, mais avec une carte dont les numéros, date de validité et CVV ont été
copiés chez quelqu’un d’autre. La faille du système exploitée est double:
– il n’y pas de protection par la puce de la carte sur internet et donc pas de PIN code à fournir. Il suffit de connaître le numéro-date de validité-CVV. Autrement
dit n’importe qui ayant eu votre CB entre les mains est capable d’acheter avec sur Internet.
– il n’y a pas de corrélation entre l’identité d’un porteur de CB (nom, adresse) et un achat sur Internet. (ni même dans un magasin ou un DAB,mais là on a un PIN
code à fournir).
Un spécialiste de la carte bancaire dira: « La CB française est plus sécurisée au monde » ! Un expert en sécurité vous dira: « Cette sécurité n’est pas
adaptée à Internet: elle a été conçue pour protéger les acheteurs et vendeurs en boutique. Il faut une autre solution pour Internet qui ajoute un élément que le fraudeur ne peut pas mettre en
oeuvre »…
D’après moi la solution la plus pertinente et la moins couteuse est le « double canal »; Au moment de l’achat un SMS avec un mot de passe valable une fois « OTP – One
time password » est envoyé sur le téléphone mobile de l’acheteur. Il sera quasi impossible pour le pirate d’intercepter également cet autre canal et ceci simultanément pendant la courte période de
l’achat.
Le spécialiste dira: « Et ceux qui n’ont pas de téléphone portable, on fait comment ? »
L’expert dira: « Pourquoi cette population dénommée « Madame Michu » -certes respectable mais dépassée techniquement- irait-elle acheter sur internet mais
sans pour autant posséder de téléphone portable ? ». En fait cette population est tellement marginale qu’elle servira uniquement de prétexte pour ne rien faire…
En fait nous savons tous que dans le protocole 3D Secure on remplace peu à peu la question « ultra-secrète » Quelle est votre date de naissance ?, par un SMS
contenant un OTP envoyé sur notre téléphone. Il en va de même pour Google ou Facebook, à condition d’activer l’option. Nous sommes donc sur la bonne voie du « double canal ».
Ces éléments nous donnent la deuxième caractéristique de l’expert, notamment par rapport au spécialiste: un expert est certes spécialisé dans une niche, mais il est
capable de raisonner globalement en inscrivant ses connaissances dans un raisonnement qui inclut des paramètres hors de son périmètre.
Voici pour terminer un quizz que j’ai mis au point pour déterminer votre profil:
question 1: une MAC ADDRESS comporte combien de caractères en hexadécimal ?
a- 12 – toutes celles de Sichuan Jinwangtong Electronic Science & Technology Co,.Ltd commence par FC-E1-92 (hex) -nota bene: les rapports des
spécialistes sont truffés de fautes, puisque l’orthographe ne fait pas partie de leur spécialité 😉
b- 2 blocs de 6 dont le premier bloc correspond au code OUI du fournisseur
c- je ne sais pas – ça m’est égal – je n’ai jamais d’ennuis avec Apple.
question 2: quelles sont les adresses IP non routables dites « privées » ?
a – d’après la RFC 1918 il s’agit des blocs suivants:
– 10.0.0.0 – 10.255.255.255
(10 / 8 prefixe)
– 172.16.0.0 – 172.31.255.255 (172.16/12 préfixe)
– 192.168.0.0 – 192.168.255.255 (192.168/16 préfixe)
Nous nous référerons à la première tranche de «24-bit block », la seconde
comme
« 20 bits », et la troisième comme « 16 bits »
bloc. Notez que (dans pré–notation CIDR) le
premier bloc n’est en fait qu’une seule classe A numéro de réseau, tandis
que le second bloc est un ensemble de 16 numéros de
réseau contigus de classe B, et le troisième bloc est un ensemble de 256 numéros de réseau contigus de classe C. (nota bene: le
spécialiste n’est pas concerné par la lisibilité de ses réponses par des non-specialistes 😉
b- celles qui commencent par 10. ou 172.16. ou 192.168. (nota bene: ce qui est partiellement faux puisque la série de classe B 172.16 s’arrête à 172.31, mais
l’expert ne pinaille pas sur les détails qui l’éloignent de l’essentiel)
c- il y en a dans mon iPhone ?
question 3: de combien augmente la dette de la France par seconde ?
a- quel rapport avec la sécurité informatique ?!
b- sachant que le deficit annuel du pays est autour de 100 Mds d’euros, la dette globale augmente d’environ 3170 euros par seconde (en divisant le
déficit par le nombre de secondes dans un an)
c- la dette n’est pas le problème de ceux qui la doivent mais de ceux qui vont devoir la payer… En tous les cas Apple est bien côté en bourse et n’a pas de dettes
! (je n’en sais en fait rien mais ça me parait vraisemblable en tant que généraliste)
SI vous avez un triple « aaa » vous êtes définitivement un spécialiste. (ça en fait au moins quelques uns qui ont un triple « a » 😉
Si vous avez un maximum de « b » vous êtes expert. Avec un maximum de « c » vous êtes plutôt un généraliste…
Mauro Israel – Expert sécurité
FIDENS
Février 2012