Introduction aux risques et contre-mesures des échanges d’informations entre systèmes de sensibilités différentes

 

 

Introduction

 

Dans des environnements variés, la question de la sécurisation des échanges d’informations entre systèmes d’information de sensibilités différentes est cruciale pour faire face aussi bien aux menaces de fuite d’information qu’à celles de compromission. Le besoin métier nécessite de pouvoir échanger de l’information alors que la sensibilité même des informations et processus du système le plus sensible plaide pour son isolement.

Cette problématique est vraie pour les environnements industriels critiques de type SCADA (réseau de production ou distribution d’énergie, raffinerie, pilotage du réseau ferroviaire …), le secteur médical (manipulation d’information confidentiel médical protégé par la loi …), le secteur bancaire (flux de transaction bancaire internationale, place boursière, ...).

C’est en prenant le cas des environnements Défense que nous aborderons ce sujet car il y est emblématique. Et nous essayerons de montrer que les solutions issues de ce secteur très exigeant en matière de sécurité peuvent être généralisées à d’autres domaines d’activité non moins exigeants.

 

Dans un environnement de défense différents niveaux de protection et de classification de l’information sensible existent tels que définis dans l’instruction générale interministérielle IGI1300 (1) : DR, CD, SD, TSD(2)

Le traitement informatisé de ces informations doit avoir lieu sur un système homologué pour le traitement du plus haut niveau d’information manipulée.

Il existe plusieurs modes de fonctionnement pour ces système (3) :

  • Le mode dominant et exclusif qui nécessite que les personnels accédant au système soient tous habilités au plus haut niveau d’information traitée,
  • Le mode multi-niveaux qui permet d’avoir des utilisateurs n’ayant pas tous une habilitation correspondant au plus haut niveau de classification de l’information traitée.

 

Dans la pratique, seuls les modes dominant ou exclusif sont mis en œuvre à défaut actuellement de produits agréés assurant le fonctionnement en mode multi-niveaux avec un niveau de confiance suffisant dans la sécurité de l’ensemble du système.

 

Ceci amène les Armées à disposer de systèmes physiquement compartimentés (les équipements sont dédiés y compris les réseaux locaux). Les personnels sont régulièrement amenés à travailler à minima sur des systèmes de niveau Diffusion Restreinte ou Confidentiel Défense. Ils doivent, dans le cadre de leurs missions, pouvoir transférer l’information d’un système à l’autre.

La séparation physique introduit des contraintes opérationnelles fortes surtout dans les environnements où une réactivité élevée est nécessaire.

 

Partie 1 – transfert par périphérique « air gap »

 

Cette séparation physique « air gap » reste la règle appliquée. Toutefois, avec l’évolution des technologies, les transferts sont désormais réalisés de plus en plus à l’aide de périphériques USB. Ceci n’est pas sans présenter des risques pour les systèmes auxquels sont connectés de tels périphériques comme l’a encore montrée l’actualité récente avec le très médiatisé stuxnet (4).

Une démarche d’analyse des risques appliquée aux systèmes extrêmement sensibles comme les réseaux Défense permet d’identifier deux grandes catégories de menaces :

  • D’une part la fuite volontaire ou accidentelle d’information avec des impacts multiples (perte de vie humaines sur le théâtre si des informations sur le déploiement des troupes en opérations extérieures sont révélées, perte d’image comme le montrent les récents problèmes de l’armée américaine avec le site wikileaks, etc.)
  • D’autre part l’atteinte à l’intégrité ou la disponibilité du système avec la possibilité de contamination virale accidentelle (le cas de l’employé utilisant à son travail une clé usb personnelle contaminée) ou volontaire, voir l’utilisation d’une charge utile numérique spécialement conçue pour atteindre une cible informatique précise (voir encore une fois l’actualité avec stuxnet).

 

Le cas récent de stuxnet est particulièrement parlant puisqu’il s’agit d’un ver spécifiquement conçu pour attaquer des installations industrielles. S’il exploite 4 failles 0-days de Microsoft ce n’est que pour lui permettre de se propager et d’atteindre sa véritable cible soit des PLC (Programmable Logic Controllers) Siemens et par eux, une infrastructure industrielle. Les réseaux pilotant une infrastructure industrielle sont souvent déconnectés des autres réseaux de l’entreprise. La clé USB branchée à un PC Windows relié aux machines outils devient donc un vecteur d’attaque privilégié. On imagine facilement les impacts considérables sur l’environnement et les populations avoisinantes d’un dysfonctionnement d’une usine pétrochimique ou d’une centrale nucléaire suite à une contamination par un vers équivalent à stuxnet. Par ailleurs, pour la Défense on imagine l’impact de la contamination de postes informatiques déployés sur le théâtre d’opération mettant KO les moyens de télécommunication.

 

Il est donc nécessaire pour ces systèmes de se protéger à la fois contre la fuite d’information d’un système haut vers un système bas (et plus généralement vers l’extérieur) et contre la contamination par des codes hostiles pouvant conduire au dysfonctionnement ou à la paralysie du système.

L’état de l’art des technologies de contrôle des périphériques amovibles permet d’apporter un premier niveau de protection et ainsi de réduire les risques sans toutefois les traiter totalement. Les risques résiduels (non traités) devront être acceptés par l’autorité d’homologation en ce qui concerne le Ministère de la Défense.

 

Prévenir la fuite d’information

 

Il est ainsi possible de gérer les périphériques sur la base d’un identifiant matériel unique ce qui permet à l’administrateur sécurité d’interdire la connexion de périphérique personnel au système d’information. Cependant cette première mesure reste contournable pour un attaquant déterminé car il est possible de falsifier l’identifiant (id) de périphérique à condition, bien entendu, de connaître l’id d’un média autorisé sur le système. Avec ce type de mesure, il restera donc un risque résiduel dont l’importance sera déterminée par l’évaluation de la menace (moyens, détermination de l’attaquant) et l’existence d’autres mesures techniques ou organisationnelles (règles de gestion et protection des médias) mises en œuvre.

 

Un niveau de protection supplémentaire sera de définir des droits d’accès sur les périphériques. Si des besoins de transferts d’information d’un système DR vers un système CD existent, il sera possible de limiter sur le système CD l’accès aux clés USB en lecture seule. Ainsi la fuite d’information depuis le réseau CD n’est pas possible. Si des besoins d’export d’information depuis le réseau CD demeurent, il faudra définir des droits en écriture spécifiquement pour les médias autorisés et associer ces droits à des profils d’utilisateurs plus limités ce qui réintroduit le risque de fuite mais en réduit le niveau, sa vraisemblance étant moindre.

 

En matière de réduction de risque de fuite d’information, il est également possible de limiter les formats de fichier pouvant être copiés. Si un système traite des images satellites qu’il importe mais que l’export d’information est limité à des rapports d’analyse, il est envisageable de restreindre la copie sur média aux seuls formats de fichiers bureautiques et d’interdire la copie pour les formats images.

 

Par ailleurs, il est également possible de mettre en œuvre des quotas sur le volume de données copiées. Si la limite est atteinte, l’utilisateur peut-être empêché d’exporter l’information et une alerte peut-être remontée à l’administrateur sécurité. Une clé USB de 32 Go peut contenir l’équivalent de plusieurs millions de pages de documentation confidentielle !

 

Suivant l’analyse de risque, une dépollution voire une conversion de format préalable des fichiers exportés peut être réalisée pour garantir l’absence d’informations cachées ne devant pas être exportées (méta données d’un fichier Word, suivi de modification, etc.). La mise en œuvre de ce type de solution dépasse les capacités des solutions de gestion de périphériques mais nécessite la mise en œuvre d’outils dédiés développés souvent spécifiquement suivant le niveau de contrôle désiré. Suivant la démarche ISO27005 de gestion des risques, il est parfaitement envisageable pour des systèmes déjà en production d’opter pour la mise en œuvre de contrôles via des produits sur étagère (contrôle des périphériques par identifiant, contrôle des droits d’accès par profil, filtrage des types de fichiers), dans un premier temps, en acceptant alors un niveau de risque résiduel plus ou moins important lié à l’absence de dépollution ; puis dans un second temps, de planifier la mise en œuvre d’une solution de dépollution pour aboutir à terme au niveau de risque acceptable. En attendant, des procédures manuelles pourront être envisagées (recommander la conversion par les utilisateurs des fichiers Microsoft Office au format PDF avant export, demander aux utilisateurs de vérifier les propriétés des documents, que le suivi de modification soit désactivé et que les modifications soient toutes validées, etc.)

 

Enfin les solutions dites de « Data Loss Prevention » (DLP) permettent d’apporter, dans certains cas, un niveau de protection supplémentaire. Ces solutions permettent de détecter voire bloquer la copie de certains fichiers. Les critères de détection sont variables : mots clés, hash du contenu des documents, droits numériques associés au fichier. Le problème majeur de ces solutions reste la qualification de l’information dans l’outil de DLP pour déterminer si l’information peut être exportée ou non. De plus, l’utilisation de contrôle sur la base « mots clés » présente des risques évidents de faux positifs. En effet, décider de bloquer l’exportation d’un fichier comportant les mots « Spécial France » risque fort d’avoir pour effet de bloquer en plus des textes marqués en entêtes, les textes qui font juste référence à l’existence de cette mention mais sans être eux-mêmes marqués à ce niveau de confidentialité (comme un texte réglementaire tel que l’IGI1300).

 

L’essentiel de ces mesures est parfaitement utilisable dans des environnements civils et sensibles pour protéger des équipements pilotant des installations industrielles ou le SI d’un hôpital par exemple.

 

Détecter la fuite d’information

 

Il est nécessaire de mettre en œuvre la journalisation des fichiers transférés vers un média amovible. Toutefois la seule journalisation des noms de fichiers associés à l’identité de l’utilisateur et à la date et l’heure du transfert n’est pas une information assez précise pour identifier une fuite d’information. Il est trivial de changer le nom d’un fichier avant son export. Dans des environnements très sensibles et suivant l’analyse de risque, la mise en œuvre de fonction de type « copie cachée », permettant de copier de façon invisible pour l’utilisateur les fichiers transférés, offrira une véritable capacité d’analyse à posteriori des transferts. Toutefois cette dernière fonction amène des contraintes lourdes en termes de volumétrie des traces et de contrôle d’accès à celles-ci, les administrateurs sécurité eux-mêmes n’ayant pas vocation à connaître les informations transférées.

Plus globalement, sans mettre en œuvre une telle fonctionnalité, une politique de journalisation transverse à l’ensemble du système (système de fichier, messagerie, service web, etc.) associée à des outils d’analyse de logs doit permettre une meilleure traçabilité de l’export d’information en couvrant en partie le risque de modification du nom de fichier. Une telle politique de journalisation doit s’appuyer sur une politique de sécurité de l’organisme utilisant le SI.

 

La protection contre les atteintes en intégrité

 

3 axes, généralement déclinés sous forme de règles dans les politiques de sécurité, sont envisageables et se complètent :

  1. Le contrôle des formats de fichiers autorisés à être importés. Une bonne pratique sera d’interdire l’importation de fichiers exécutables aux utilisateurs (les administrateurs pourront se voir autorisés à le faire).
  2. L’analyse antivirale systématique du contenu des médias. Malheureusement aujourd’hui les éditeurs privilégient une analyse sur accès aux fichiers plutôt qu’un contrôle complet du contenu du média avant d’en autoriser l’accès. Ce type de contrôle nécessitera donc des développements complémentaires.
  3. La protection au niveau du système d’exploitation où le média est connecté par une technologie de type host IDS pour bloquer des attaques exploitant des vulnérabilités de l’OS (buffer overflow, heap overflow, etc.).

 

Il est important d’associer les 3 protections car un simple antivirus saura le plus souvent bloquer uniquement des menaces connues (et encore si sa base de signatures est à jour). Le contrôle des types de fichiers autorisés permet de réduire le nombre de vecteurs d’attaque. La protection dynamique au niveau de l’OS contre des comportements anormaux permet de se prémunir contre des attaques ciblées non référencées par les éditeurs d’antivirus.

 

Où l’on retrouve le facteur humain

 

La mise en œuvre de ces mesures techniques nécessite des procédures comme la gestion de l’attribution individuelle, de la récupération et de la destruction en fin de vie des médias.

 

Par ailleurs ces solutions techniques doivent absolument être complétées par des mesures de sensibilisation et de formation des utilisateurs. Si la clé USB fournie par l’utilisateur est utilisée en dehors de l’organisme sur des équipements non sûrs il y a un risque de contamination du média ou de fuite des informations qu’il contient.

Il est important de rappeler aux utilisateurs le caractère purement professionnel du média fourni et des règles de base à respecter : ne sortir le média de l’organisme qu’en cas de nécessité ; conserver en armoire fermée ou respectivement au coffre un média contenant des informations sensibles ou classifiées ; ne pas sortir de l’organisme un média contenant des données sauf contraintes opérationnelles et si le média doit contenir des données ; lui appliquer les règles de protection physique en accord avec la sensibilité des informations contenues.

Ces mesures sont tout à fait applicables quel que soit le secteur d’activité. Si la responsabilité légale d’un personnel est engagée, s’il transporte des informations classifiées de Défense hors du site sur une clé USB non marquée et non protégée, celle d’un employé d’une banque transportant sans autorisation des fichiers clients avec référence bancaire peut l’être tout autant.

 

Partie 2 – les interconnexions

 

Les transferts d’informations entres systèmes homologués à des niveaux de confidentialité différents peuvent également être réalisés par des interconnexions sécurisées en accord avec la réglementation et l’analyse de risque. Ceci peut, par exemple, permettre de répondre à des besoins de transferts automatisés.

 

Transfert montant et principe de diodes

 

Il existe aujourd’hui des solutions techniques agréées (au sens de l’IGI1300 donc apportant un niveau de confiance suffisant) permettant de transférer des informations dans le sens montant, c'est-à-dire d’un système de niveau bas (Diffusion Restreinte par exemple) vers un système de niveau haut (par exemple Confidentiel Défense). Ces dispositifs techniques, de par leur conception, garantissent que l’information ne circule que dans le sens autorisé par la réglementation. Pour un usage en environnement Défense en France ou pour l’OTAN, il existe aujourd’hui des solutions agréées, telles que les technologies dites "diodes".

Ces dispositifs répondent au besoin du système haut de se prémunir du risque d’une fuite d’information, risque d’autant plus élevé qu’une connexion réseau permanente et bidirectionnelle rendrait possible des scénarios de flux permanents utilisant des canaux cachés.

En revanche, ces technologies dites de diode n’adressent pas les risques en intégrité comme la propagation de virus dans les fichiers transférés. Il est donc essentiel de recourir à des fonctions d’analyse antivirale et de contenu dans le domaine haut à même de bloquer tout contenu hostile. Une analyse antivirale systématique et le blocage de type de fichier potentiellement porteur d’une charge hostile (comme les exécutables) sont donc nécessaires.

Bien entendu, la journalisation des données transférées reste nécessaire.

 

Transfert descendant

 

Un transfert descendant répond au besoin de transfert d’information d’un système haut vers un système bas. Le niveau de l’information ne doit pas excéder le niveau d’homologation du système bas (par exemple le transfert d’information d’un système CD vers un système DR ne peut avoir lieu que si l’information est au maximum DR). Un cas particulier est celui du transfert d’information d’un système national (manipulant des informations Spécial France par exemple) vers système étranger (de l’OTAN par exemple). Dans ce cas particulier, les deux systèmes vont se considérer comme le système haut et vouloir se prémunir d’une fuite d’information.

 

Il faut donc disposer de moyens à l’interconnexion capables d’assurer que seules les informations exportables (n’excédant le niveau du système bas) seront transmises. Ceci passe par une dépollution systématique visant à assurer qu’aucune information cachée ne passera avec l’information transférée et par un marquage systématique de l’information, sur action humaine. Ce marquage devra être indissociable de l’information. Lorsque l’information arrivera au niveau de la passerelle d’interconnexion celle-ci devra vérifier l’intégrité de l’ensemble information et marquage et vérifier que ce dernier autorise bien l’export. Vu le caractère extrêmement critique de ce type d’interconnexions, seules des solutions agréées, donc apportant le niveau de confiance suffisant dans l’implémentation des fonctions de sécurité (via une évaluation et une certification des produits), peuvent être employées. Progressivement l’état de l’art avance dans ce domaine. Des solutions répondant à des besoins spécifiques de communication entre système apparaissent mais les moyens pour permettre l’échange de documents bureautiques sont encore à mettre au point Jusque là, l’utilisation des clés USB perdurera.

 

On peut noter que dans certains cas la problématique de confidentialité n’est pas forcément la priorité. Prenons le cas d’une chaine de production industrielle au sein de laquelle il n’est pas manipulé de données particulièrement confidentielles pour l’entreprise. Il peut exister un besoin de mettre à disposition des informations au SI de l’entreprise par exemple en collectant des indicateurs sur l’avancement de la production alors qu’il est primordial de protéger le système de production d’une contamination virale. Dans ce cas, on pourrait envisager d’inverser le principe de diode. Une diode pourrait être utilisée pour garantir la « descente » d’informations vers le SI de l’entreprise mais bloquer toute contamination depuis celui-ci.

 

Conclusion

 

Si l’on se place dans une logique ISO 27005 de gestion des risques et d’amélioration continue de la sécurité, et si l’on compare les risques croissants des périphériques amovibles avec les risques résiduels d’une interconnexion maitrisée à l’aide de solution de confiance, la sécurisation de l’utilisation des périphériques amovibles est à prendre en compte dans un premier temps en attendant la mise en œuvre de solution agréée de sécurité aux interconnexion s(processus long). Des interconnexions sûres permettraient en effet de réduire les besoins de transfert manuel par média et ainsi les risques associés tout en facilitant le travail des opérationnels. La problématique exposée est particulièrement forte pour l’environnement de Défense mais peut être transposée aux environnements civils. Les risques propres à l’utilisation des médias amovibles (intégrité, fuite d’information) restent vrais pour les systèmes d’informations de toutes entreprises ou administrations. Les technologies de diodes ou de passerelles descendantes quant à elles offrent des perspectives pour les secteurs d’activités ayant besoin de relier entre eux des systèmes devant par ailleurs bénéficier d’un fort cloisonnement comme les infrastructures critiques en environnement industriel. Les consultants Fidens travaillent quotidiennement sur ces problématique au travers de missions d'expertise technique, en œuvrant soit à sécuriser l’utilisation des périphériques amovibles, soit des interconnexions montantes entre systèmes mais aussi en faisant évoluer l’état de l’art des interconnexions entre système de niveaux différents pour faire apparaître de nouvelles solutions de passerelle descendantes.

 



1 Voir l’IGI 1300 du 23 juillet 2010 http://www.ssi.gouv.fr/IMG/pdf/igi1300.pdf

2 DR=Diffusion Restreinte CD = Confidentiel Défense, SD=Secret Défense, TSD= Très Secret Défense

3 Le mode dominant : les personnes ayant accès au système sont toutes habilitées au plus haut niveau de classification des informations stockées, traitées ou transmises dans le système mais n'ont pas toutes un besoin commun d'en connaître pour toutes les informations stockées, traitées ou transmises dans le système.

Le mode exclusif : " les personnes ayant accès au système sont toutes habilitées au plus haut niveau de classification des informations stockées, traitées ou transmises dans le système et ont un besoin commun d'en connaître pour toutes les informations stockées, traitées ou transmises dans le système. »

Le mode multi-niveaux : « les personnes ayant accès au système ne sont pas toutes habilitées au plus haut niveau de classification des informations stockées, traitées ou transmises dans le système, et n'ont pas toutes un besoin commun d'en connaître pour toutes les informations stockées, traitées ou transmises dans le système. »

Voir l’II920 du 12 janvier 2005 http://www.ssi.gouv.fr/IMG/pdf/II920-janv2005.pdf

4 Voir les articles  http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf et http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

article rédigé par EFK, le 07/12/2010