AccueilActualités informatiqueIGF 2021 : Sécurité des réseaux et gestion des vulnérabilités non sécurisées

IGF 2021 : Sécurité des réseaux et gestion des vulnérabilités non sécurisées

Lors du 16e Forum sur la gouvernance de l’Internet (FGI), l’expert en sécurité informatique Serge Droz a parlé de la manière dont les vulnérabilités sont exploitées par les services de renseignement et les forces de l’ordre. La stimulation des « marchés de l’insécurité » nécessite un changement de mentalité dans la politique, a déclaré Droz lors du FGI à Katowice, en Pologne. Il en résulte des coûts élevés pour l’économie et la société.

Du point de vue du « Forum for Incident Response and Security Teams » (FIRST), qui intervient en tant que premier intervenant en cas de problèmes de sécurité sur le réseau, la situation devient hautement périlleuse sans un changement de mentalité politique. Droz a parlé du travail des pompiers du réseau lors de l’une des plus de 250 manifestations du 16e forum hybride sur la gouvernance de l’Internet.

Une des plus de 250 sessions : la table ronde « Pas d’espionnage habituel ».

L’exploitation des vulnérabilités par les services secrets doit être réévaluée par les politiques au vu des énormes dégâts, a averti M. Droz, dont la profession principale est chef de la sécurité chez ProtonMail. En prenant l’exemple de la dernière faille des serveurs Microsoft Exchange, il a décrit aux participants de l’IGF comment des épidémies se propagent à travers les réseaux informatiques en ouvrant des brèches.

Sommaire

« Lorsque l’acteur étatique a terminé, tous les criminels prennent immédiatement le train en marche pour lancer des attaques de ransomware contre tous ceux qui n’ont pas immédiatement appliqué les correctifs. Les services secrets organisent pratiquement une fête pour les criminels », explique Droz. Il n’est pratiquement plus possible de tenir à l’écart les invités non invités.

Pour les spécialistes de la cybersécurité, il est presque impossible de maîtriser les vagues qui se forment. Les petites entreprises et les simples utilisateurs ne peuvent pas non plus supporter la course aux correctifs. Parfois, les dommages causés ne peuvent plus être réparés, par exemple en cas de perte de données sensibles du système de santé.

Kaja Ciglic, directrice de la diplomatie numérique chez Microsoft, a critiqué le fait que de nombreuses personnes sont encore plus inquiètes parce qu’elles craignent d’attraper de nouveaux logiciels malveillants avec les mises à jour. Mme Ciglic a également souligné la portée extrême de ce type d’espionnage à bas prix.

L’eurodéputé Bart Groothuis, rapporteur pour la révision de la directive Network Information Security (NIS), a reconnu lors de la session plénière de l’IGF sur la sécurité, la confiance et la stabilité, le développement négatif des « usines ZeroDay » privées et sponsorisées par l’Etat.

On ne peut toutefois pas renoncer totalement aux points faibles en raison de la lutte contre la criminalité. « Nous en avons parfois besoin pour accéder à certains points finaux », a-t-il déclaré. Il a plutôt plaidé pour que les outils correspondants soient tenus à l’écart de pays comme la Hongrie, la Pologne ou la Chine. Les contrôles à l’exportation et une meilleure surveillance sont, selon lui, nécessaires pour trouver un équilibre.

Lors d’un atelier sur le cryptage et les droits de l’homme, le collègue parlementaire de Groothuis, Patrick Breyer, s’est quant à lui opposé à toute intervention standard dans les connexions cryptées à des fins de poursuite judiciaire. Breyer a expliqué que la guerre pour un cryptage sécurisé de bout en bout battait son plein en Europe. C’est ce que montrent les demandes actuelles de scan du site client auprès des opérateurs de plateformes et de services. Celle-ci sera nécessaire si la Commission européenne parvient à faire passer son projet de faire analyser les messages privés à la recherche d’éventuelles représentations d’abus sexuels sur des enfants. La proposition correspondante est annoncée pour mars 2022.

Le politicien pirate Breyer a déclaré aux participants de l’IGF que l’engagement de la nouvelle coalition allemande des feux de signalisation en faveur d’un « droit au cryptage » et la grande résistance publique contre le projet abandonné d’Apple sur le scanning des sites clients constituaient tout de même une certaine lueur d’espoir.

En cas de problèmes de lecture de la vidéo, veuillez activer JavaScript

Le Forum des meilleures pratiques en matière de cybersécurité (BPF Cybersecurity Forum) a constaté le dernier jour de l’IGF 2021 une prise de conscience internationale croissante du fait que les possibilités d’accès des États et les arsenaux d’armes cybernétiques constituent un problème pour la sécurité des réseaux. Dans un rapport fascinant, le BPF avait examiné un total de 36 normes actuelles développées par des organisations intergouvernementales internationales et régionales ou des organisations non gouvernementales et des entreprises. La comparaison a notamment révélé que les règles relatives à l’acquisition et à l’exploitation de cyberoutils offensifs n’ont cessé d’augmenter.

Le Best Practice Forum Cybersecurity a identifié 36 normes relatives à l’acquisition et à l’utilisation de cyberoutils offensifs.

Les experts du BPF ont ensuite analysé les effets potentiels des normes volontaires sur les attaques passées et en cours. Les dommages causés par le virus CIH en 1999 ou l’attaque Solarwind auraient-ils pu être atténués par une mise en œuvre conséquente des normes ? La faille Heartbleed aurait bénéficié d’une analyse et d’un partage des vulnérabilités coordonnés au niveau international, selon l’une des conclusions.

L’expérience de Heartbleed a incité FIRST à établir en 2015 un nouveau groupe pour la coordination des informations sur les vulnérabilités. Ce groupe a par la suite développé pour la première fois de bonnes directives. Des mesures ont également été prises au niveau intergouvernemental. Ainsi, il existe désormais une norme selon laquelle les CERT – du moins les CERT officiels -, si importants en cas d’attaque, ne doivent pas être attaqués et les processus de patching ne doivent pas être utilisés pour introduire des failles. La représentante de Microsoft, Mme Ciglic, a assuré que des promesses avaient même été faites dans les groupes de négociation de l’ONU sur le thème de la cybersécurité pour que cette norme soit réellement mise en œuvre.

Plus d'articles