- Place de l'IT - https://placedelit.com -

Vincent Strubel, Anssi: «Open source, le meilleur vecteur pour améliorer la sécurité»

C’est un pan méconnu de son activité, l’Anssi a développé une expertise dans le domaine de l’open source. En particulier en développant un OS sécurisé Clip OS dont les fondations remontent à 2006. En septembre 2018, il a basculé en open source.
Dans le cadre du récent salon Ready for IT, Place de l’IT a rencontré Vincent Strubel, Sous-Directeur Expertise de l’Agence nationale de la cybersécurité, qui évoque l’écosystème open source dans le sens d’une sécurisation informatique renforcée pour les besoins Cyber de l’Etat.

Vincent Strubel, Sous-Directeur Expertise, ANSSI
Vincent Strubel, Sous-Directeur Expertise, ANSSI

Place de l’IT: L’Anssi développe une expertise open source, en particulier à travers Clip OS. Jusqu’où comptez-vous le déployer?

Vincent Strubel: C’est une distribution Linux que nous avons développée au sein des laboratoires de l’Anssi pour monter en compétence sur les questions des systèmes d’exploitation. Nous voulions voir ce qu’il était possible de faire et d’implémenter en termes de recommandation. Puis, nous nous sommes rendus compte que Clip OS répondait à nos attentes. Nous l’avons déployé au sein de l’Anssi depuis 2009 mais aussi au-delà, notamment au sein de l’administration publique et de quelques opérateurs d’importance vitale. Il a son cadre d’usage bien établi et a vocation à perdurer.
Cependant, la publication de Clip OS n’a pas pour objectif sa généralisation. Nous avons identifié des cas d’usage qui répondent à nos besoins ou spécifiques. Certains nous ont encore probablement échappés. D’autres acteurs pourraient s’emparer du sujet. Idem pour la sécurisation de l’OS.
Il serait prétentieux de notre part de dire que nous avons pensé à tout. Une communauté d’acteurs (développeurs, chercheurs…) est invitée à améliorer cette solution.
L’objectif n’est pas de déployer Clip OS à la place de Windows ou macOS. Il s’agit de répondre à ces cas d’usages particuliers de sécurité pour les administrateurs, les VIP en nomadisme et tous les responsables qui ont besoin d’accéder à des informations sensibles.

Concrètement, à quels usages Clip OS répond-il?

Nous menons une démarche de valorisation dans le sens du nomadisme sécurisé.
Avec Clip OS, il est possible de disposer de deux environnements sécurisés sur un ordinateur portable avec par exemple, un environnement d’accès à Internet et un autre (isolé) sous forme d’intranet sécurisé aux ressources de l’Anssi. Ce qui permet de disposer d’un traitement de données plus confidentiel, tout en profitant du meilleur des deux mondes.
L’autre cas d’usage de Clip OS, plus spécifique mais qui rejoint un besoin de sécurité assez critique, porte sur l’administration de systèmes d’information. Les cyber-attaques profitent souvent des faiblesses de la télé-administration des SI via des schémas assez pointus. L’assaillant réalise son travail de préparation en identifiant l’administrateur afin de prendre la main sur son ordinateur.
On constate souvent sur un même environnement les «Joyaux de la Couronne», c’est à dire l’accès aux comptes privilégiés d’administration d’un SI critique et la mise à disposition d’un navigateur Internet. C’est généralement à cet endroit que le bât blesse. Clip OS résout cette confusion des genres avec des compartiments permettant d’isoler les usages Web et l’accès distant sécurisé à ces réseaux sensibles.
Ce type de configuration se prête bien aussi à des logiques d’astreinte et de travail à domicile, par exemple. Dans des cas bien particuliers, nous avons aussi intégré la base logicielle Clip dans des systèmes embarqués pour concevoir des appliances.

Quelles sont les couches open source qui vous intéressent le plus?

Nous pouvons définir deux catégories. Celles que l’Anssi va employer pour concevoir ses propres produits sont largement déployées pour répondre à ses métiers très particuliers. Nous faisons une avide consommation de l’open source en interne. D’ailleurs, nous publions in fine nos outils en open source. Ils sont élaborés en se tenant sur les épaules des géants quelque part. Nous réutilisons l’open source pour nos outils de détection, d’analyses d’attaques, de réponses à incidents, etc.
D’autre part, nous voyons passer dans les solutions des éléments de sécurité à renforcer. A travers son activité de visas de sécurité, l’Anssi délivre des attestations de qualité à des produits développés par des prestataires.
Force est de constater qu’il est difficile d’échapper à l’open source dans la conception d’une solution numérique ou d’un produit intégré. C’est déjà vrai dans l’informatique traditionnelle aujourd’hui, ce sera aussi le cas demain avec les objets connectés. Sécuriser les couches open source constitue le meilleur vecteur pour améliorer la sécurité d’un vaste ensemble de solutions.

Stand Anssi - Ready for IT 2019
Stand Anssi – Ready for IT 2019

Observez-vous souvent des lacunes dans la sécurité des solutions associées aux communautés open source?

Il ne faut pas généraliser, car l’open est composé de réalités et de communautés très différentes . Nous pouvons apporter une certaine expertise et des cas d’usages spécifiques avec Clip OS. Nous sommes en mesure de reverser des contributions spécifiques à la communauté open source. Nous pouvons apporter l’évaluation du degré de sécurité.
Aujourd’hui, nous initions une démarche à travers laquelle nous allons identifier des briques open source que nous souhaitons étudier. Nous allons payer une évaluation, et reverserons ensuite les résultats, qu’ils soient positifs ou négatifs. S’il y a des failles ou des améliorations à apporter ou des recommandations à préconiser, nous communiquerons sur les briques les plus largement utilisées.
Il existe aussi un troisième volet non négligeable qui consiste à pérenniser certaines briques. Certaines choses sont éminemment critiques alors qu’elles sont largement utilisées. Si elles ne faisaient pas l’objet d’une attention continue, nous irions vers de graves problèmes. Prenons l’exemple de Surikata, le logiciel open source D’analyse d’alertes qui s’intègre dans une architecture de détection des attaques. Elle est développée par une communauté de développeurs open source et chapeautée par l’Open Information Security Foundation.
On retrouve cette brique Surikata dans de nombreuses solutions de détection. Notamment celle que l’on vient de qualifier en avril à destination des Opérateurs d’Importance Vitale (OIV). Nous participons à l’OISF à plusieurs titres: financement raisonnable (80 000 euros par an), gouvernance, contribution au code…Nous réalisons donc un bon retour sur investissement.

Jusqu’où redistribuez-vous à la communauté open source?

La doctrine revient à publier par défaut, sauf s’il existe une bonne raison de ne pas le faire. Quand nous apportons des améliorations dans les briques existantes, nous reversons les développements spécifiques. Tout en évitant de redistribuer des éléments susceptibles d’aider davantage les attaquants souhaitant affaiblir le niveau de protection des SI. Comme un outil de reverse engineering super poussé. Il y a toujours un petit débat en interne. Nous restons aussi attentifs à ne pas toucher à la propriété intellectuelle de certains éditeurs.
Dans les dernières années, il faut parler d’exception. A deux ou trois reprises, nous avons refusé de reverser à la communauté open source. Sinon, nous choisissons de publier. 41 projets sont publiés sur le GitHub de l’Anssi [selon le rapport annuel 2018, l’Agence «contribue à 13 projets open source»].

Par rapport aux agences de sécurité d’autres pays, comment évaluer la contribution de l’Anssi à l’open source?

Toutes les agences examine l’open source, acre il représente une partie conséquente de l’écosystème numérique. En revanche, il en va autrement en terme de publication. En tout cas, beaucoup moins proactivement que ce que nous faisons. Je pense que cela tient à des différences culturelles.
L’Anssi fête ses dix ans, et ce n’était pas forcément un choix évident pour une administration centrale de l’Etat français de publier massivement. Nous avons énormément progressé et l’Etat a lui-même une stratégie très tournée vers l’open source.
La démarche est peut être moins claire dans les processus d’autres Etats. Dans le cas de la NSA aux Etats-Unis, c’est potentiellement la première agence de cybersécurité à avoir contribué à l’open source. En 2001, elle s’était mise en tête de développer un Linux sécurisé qui a été reversé à la communauté. A l’époque, cela avait soulevé un ensemble de questions relatives aux missions de la NSA qui ne se limitent pas simplement à défendre les systèmes d’information.
Pour le cas de l’Anssi, lorsque nous contribuons, la communauté open source ne se pose pas trop de questions, car les barrières sont clairement délimitées [NDLR: entre protection des systèmes d’information et capacités de cyberattaques]. Je pense que l’Anssi est l’une des organisations de l’Etat français les plus actives en nombre de contributions open source. De manière subjective, je dirais que nous sommes deuxième ou troisième.

Anssi: par ici mon WooKey

WooKey par l'Anssi
WooKey par l’Anssi

Présente avec un stand déployé parmi les exposants de Ready for IT, l’Anssi a mis l’accent sur la sécurité des objets connectés à travers les logiciels libres.
Illustration avec le projet WooKey «open source et open hardware»: c’est un prototype de clé USB sécurisé intégrant un disque dur avec des fonctions de chiffrements.
Les laboratoires de l’Anssi travaillent sur ce projet depuis cinq ans. Selon l’Anssi, de multiples mécanismes matériels et logiciels implémentés permettent à Wookey «de résister à tout type d’attaques». Le potentiel serait important pour développer de nouveaux projets d’objets connectés durcis: capteurs, périphériques, systèmes complexes, systèmes industriels, véhicules…