CCDCOE #CyCon2015 : Retour sur la Cybersécurite en Afrique

Au mois de Mai dernier, s’est tenue en Estonie, au Cooperative Cyber Defense Center of Excellence (CCDCOE) de l’Organisation du Traité de l’Atlantique Nord (OTAN/NATO) la 7eme Conférence Internationale sur les Conflits dans l’univers Numérique ( Cyber Conflits). J’ai récemment eu accès aux supports de présentations/ateliers qui s’y sont tenues et l’un d’entre eux concernait justement le cas particulier de l’Afrique.

« Multilateral Legal Responses to Cyber Security in Africa: Any Hope for Effective International Cooperation? » tel s’intitule cet exposé de Uchenna Jerome Orji, membre actif de l’African Centre for Cyber Law and Cybercrime Prevention (ACCP), basé à Kampala en Uganda. Il y est donc question des mécanismes mis en place pour faciliter la Coopération multilatérale entre les Etats d’Afrique sur le plan de la Cyber Sécurité (Protection de la Vie Privée, Collecte d’informations, Partage d’informations, mesure Légales contre la Cybercriminalité transfrontalière, Assistance inter Etat en cas d’incident « Cyber », …). L’exposé se base sur une analyse des textes de loi adoptés (ou en cours d’adoption) par l’Union Africaine, le Common Market for Eastern and Southern Africa (COMESA), l’Economic Community Of West African States (ECOWAS) et le South African Development Community (SADC) portant sur la Cyber sécurité, le tout avec une emphase particulière sur la Convention de l’UA, ses limites et des propositions pour le rendre plus complet et efficace qu’il ne l’est dans l’état actuel des choses.CCDCOE_Africa, Source https://ccdcoe.org/cycon/2015/photos/cycon_day2/index.html

A titre indicatif, ce billet n’est pas une analyse de cet exposé mais juste un partage car j’estime que jusqu’à présent le sujet de la Cyber Sécurité en Afrique, particulièrement au niveau Organisationnel reste trop peu couvert. L’une des recommandations de l’auteur de cet exposé est la mise en oeuvre d’un CERT (Computer Emergency Response team) au niveau régional et à cet effet, j’aimerai mentionner l’organisation AfricaCERT qui justement oeuvre sur le continent depuis plusieurs années dans le cadre de faciliter le partage d’Informations et l’Assistance multilatérale entre les pays d’Afrique pour renforcer nos capacités en Cyber Défense et dans la lutte contre la Cybercriminalité.

Liens utiles :

La vidéo de l’intervention de Mr Jerome Orji : #CyCon2015 Video Africa Multilateral Cooperation
La Convention de l’Union Africaine relatif à la Cyber Sécurité et la protection des données Personnelles :African Union Cybersecurity Law
Le livre complet de tous les exposés passés au #CyCon2015 : #CyCon2015 Full Materials

 

 

Internet : Participation Africaine Au Développement Technique, Cas de l’IETF !

Dans mon dernier article il était question de la participation des pays Africains en général aux différent forums pour le de l’Internet (ICANN, IETF, IGF, IANAISOC… ). A cet effet, l’avis d’un membre actif de la communauté Camerounaise de l’Internet et Expert du domaine, Victor Ndonnang, a été recueilli. Il nous donne ici ses réponses à nos deux questions.

V: A votre avis, quelles peuvent êtres les causes de ce faible taux de participation des nations Africaines en général et du Cameroun en particulier à ce genre de rencontre technique Internationale ?

Victor N.: Avant de répondre à votre question, permettez-moi de présenter brièvement l’Internet Engineering Task Force (IETF) à vos lecteurs.

L’IETF est la plus large communauté internationale de techniciens volontaires qui s’occupe du développement technique de l’Internet. C’est la où les standards et protocoles Internet sont initiés, développés, améliorés, validés et publiés pour implémentation volontaire (l’utilisation des standards et protocoles produits par l’IETF n’est pas obligatoire). Les volontaires de l’IETF sont organisés autour des groupes de travail thématiques et le plus grand de leur travail (+75%) se fait en ligne à travers des listes de diffusion. L’IETF tient également trois réunions physiques par an pour permettre aux membres des groupes de travail de se rencontrer et aussi présenter leurs travaux aux observateurs. C’est aussi l’occasion de susciter la passion et l’envie de participer chez de nouveaux volontaires.

La participation aux groupes de travail, listes de diffusion et réunions physiques de l’IETF est ouverte à tous sans discrimination. Mais pour comprendre de quoi on parle et participer effectivement, il faut être un technicien chevronné, développeur ou passionné du développement technique de l’Internet. L’IETF est « légalement » représenté par l’Internet Society, organisation internationale qui s’occupe de développement ouvert de l’Internet. Les travaux et réunions de l’IETF sont sponsorisés par les grands équipementiers (Cisco, Huawei, Alcatel-Lucent…), fournisseurs de connectivité (Comcast, Seacom…) et de contenus Internet (Google, Microsoft…).

Pour revenir à votre question, je pense que la faible participation des ingénieurs Africains en général et Camerounais en particuliers est due à plusieurs facteurs :

  • La méconnaissance de l’existence de l’IETF ; Absence des programmes recherche et développement dans le secteur de l’Internet ;

  • La rareté ou presque inexistence des constructeurs d’équipements Internet et gros intermédiaires Internet 100% Africains. L’Afrique et le Cameroun sont beaucoup plus consommateurs des équipements et contenus Internet. Nous ne produisons pas d’équipements Internet et produisons très peu de contenus Internet ;

  • La non-tenue d’une réunion physique de l’IETF (1) en terre Africaine depuis sa création en 1986. Ceci se justifie par le facteur précédent. C’est tout à fait naturel que la réunion de l’IETF se tienne là où il y’a plus de sponsors et de contributeurs des groupes de travail en ligne (USA, Europe, Canada, Australie, Japon, Corée du Sud, Chine, Taiwan…) ;

  • La non-appropriation de la notion de « communauté virtuelle » (Virtual Community) par les étudiants, ingénieurs et techniciens réseaux Africains ; Internet permet la création des communautés virtuelles qui rend plus aisée la collaboration, le partage d’idées et d’informations. L’IETF est une communauté semi-virtuelle ;

  • La non-appropriation de la notion de documentation des idées et des procédures à des fins d’utilisation et d’amélioration par les générations futures. Les ingénieurs Africains n’aiment pas trop écrire…Participer à l’IETF c’est aussi présenter, défendre son idée à distance à travers les mailing lists ; donc écrire beaucoup !

  • La barrière linguistique : Qu’on le veuille ou pas, l’anglais est la langue de l’Internet et la langue de travail de l’IETF. Qui veut participer efficacement (se faire comprendre et comprendre les autres) à l’IETF doit faire des efforts pour améliorer son niveau en langue anglaise ;

  • Et enfin le dernier facteur et pas le moins important : Le manque des moyens financiers pour soutenir la participation des ingénieurs et enthousiastes de l’Internet Africains. Quelques programmes de bourses IETF (2) existent comme celui offert par L’internet Society ; mais très peu d’Africains avec un profil adéquat postulent.

internet-development

V: Auriez-vous des voies de solutions à proposer afin de faire changer les choses au niveau local (Afrique, Cameroun) ?

Victor N. : Pour mieux combattre une maladie, il faut combattre ses causes. Je crois que les solutions aux facteurs de causalité que je viens de citer permettront naturellement une augmentation et une amélioration de la participation Africaine à l’IETFJe pense qu’il faut commencer par la base si l’on veut avoir des résultats durables. Pour cela, je propose les pistes suivantes :

  • Amélioration du niveau d’anglais chez les ingénieurs et enthousiastes de l’Internet Africains ;

  • L’appropriation de la notion de communauté virtuelle par les étudiants et ingénieurs Africains ou Camerounais. Il faut apprendre aux étudiants Africains en général et Camerounais en particulier comment utiliser efficacement les listes de diffusion (mailing lists) pour travailler et collaborer. Certains pensent que c’est facile mais ça s’apprend ;

  • L’intégration de la participation à l’IETF dans la « job description » des ingénieurs, administrateurs réseaux et étudiants chercheurs africains dans les domaines Informatique et Internet. Pour se faire, il vaut mieux expliquer la plus-value pour l’entreprise ou l’université de financer la participation de ses ingénieurs;

  • L’intégration de la notion de budget « recherche développement » dans le plan de développement des entreprises africaines qui travaillent dans un secteur en constante innovation comme l’Internet. Rappelez-vous, j’ai dit plus haut que les réunions et travaux de l’IETF sont sponsorisés par les grandes entreprises Internet comme CISCO, Google…Pourquoi ? Parce que les résultats des travaux des ingénieurs volontaires de l’IETF leur permettent de produire des équipements et solutions toujours plus innovantes et d’être toujours en avant-garde sur le secteur de l’Internet. Par exemple, le protocole IPv6 qui va permettre de connecter le prochain milliard d’internautes et sans doute toute la planète, émane de l’amélioration du protocole IPv4 (conçu initialement pour connecter seulement 4 milliards d’ordinateurs) par les volontaires de l’IETF. Le protocole SIP qui a révolutionné le secteur de la Voix par Internet (VoIP) et des télécommunications en général est aussi le résultat des travaux de l’IETF.

  • Et enfin je pense qu’il faut trouver de l’argent pour financer les participations des africains et Camerounais a l’IETF. Comment ? Je pense qu’en addition aux efforts fournis par les organisations de développement de l’Internet (ISOC,…), les gouvernements des pays en développement en général ont un rôle très important. Ils ne doivent pas seulement investir dans la sante, l’agriculture mais aussi dans les Technologies et de l’Information et de la Communication (TICs) en général et l’Internet en particulier. Souvenez-vous l’Internet qui est un bien public aujourd’hui et catalyseur du développement socio-économique émane d’un programme de recherche (DARPA) financée par le gouvernement Américain. Les gouvernements Africains doivent financer la recherche et particulièrement la recherche dans le secteur de l’Internet. Cela pourrait résoudre les problèmes d’emploi et accélérer le développement économique.

Le développement effectif de l’Internet en Afrique passe par une participation massive des jeunes ingénieurs africains aux structures clé du développement technique de l’Internet comme l’IETF, le W3C… ; afin que l’Afrique ne soit plus seulement un consommateur de l’Internet mais un producteur des équipements et contenus Internet.

Je vous remercie.

V : Tout le plaisir est pour nous, merci encore de votre disponibilité.

Notons ici que les causes et voies de solution énoncées dans cet article ne se restreignent pas juste au cadre de l’IETF mais peuvent s’appliquer aussi pour d’autres Organismes Internationaux.

(*) A propos de Victor Ndonnang

Depuis 2008, Victor Ndonnang est consultant en TIC, spécialiste des questions de Gouvernance de l’Internet et s’intéresse principalement développement technique de l’Internet et à la gestion des ressources Internet essentielles (Adresses Internet (IP) et noms de domaine). Il en maîtrise l’ensemble des enjeux transversaux : technique, juridique, marketing, communication, référencement et administratif du nommage Internet. Il conseille les petites organisations et entreprises dans la stratégie de nommage et de gestion de la présence sur Internet. Il est lauréat du Programme Internet Society Next Generation Leaders (3) et Fellow de l’ICANN. Il est membre fondateur de la branche Camerounaise de l’Internet Society (Internet Society Cameroon Chapter)qui œuvre pour le développement ouvert de l’Internet au Cameroun (IXP, IPv6, Safer Internet…) et encourage la participation des Camerounais aux structures de développement technique et de gouvernance de l’Internet (ISOC1, IGF2, ICANN3, 1Net4…).

 

Afrique et Internet : Les absents ont tort !

Deux semaines plus tôt, s’est tenue en Europe, à Londres plus précisément, la rencontre Internationale de l’Internet Engineering Task Force (IETF), communauté Technique internationale ayant pour mission de « penser » l’Internet de « demain » (ou d’aujourd’hui, selon que) afin de l’améliorer et de faire en sorte qu’il réponde le mieux aux besoins de tous.

Mon ami @OngolaBoy a posté un tweet qui a attiré mon attention :

IETF89

Le lien ( ici ) présent dans ce tweet nous montre la participation individuelle de chaque pays du globe à l’événement. Premier constat assez frappant : le taux de participation des USA ; environ 570 participants venant des Etats-Unis étaient attendus à cette rencontre ! Faut avouer que ça en fait de l’effectif, à eux seuls ils représentent l’effectif cumulé du tiers des inscrits. 🙂

A l’autre extrémité de la « ligne » c’est la très faible participation Africaine en général et Camerounaise en particulier qui a captivé mon attention.

Loin des débats sur le degré d’objectivité des ateliers tenus lors de ce type de rencontre car on peut dire ce qu’on voudra mais il y’a certainement quelque chose d’utile qui en ressort, je ne pense pas qu’il serait mauvais d’y être présent. Le futur des solutions technologiques que nous utiliserons (et dont nous utilisons déjà) est discuté dans ces rencontres internationales, y prendre part c’est aussi faire entendre sa voix, s’enrichir d’échanges fructueux avec d’autres membres de la communauté et bien plus.

Lorsqu’on regarde l’écosystème des « penseurs » de l’Internet aujourd’hui, l’Afrique n’as pas vraiment ce qu’on appellerait une place enviable. Mais à qui la faute ?

La participation à plusieurs de ces rencontres est généralement ouverte à tous ceux qui veulent bien faire le déplacement (physique ou virtuel parfois), dans certains cas même, des programmes de fellowship sont prévus. Ces programmes de fellowship permettent à des acteurs locaux n’étant pas financièrement pourvus de prendre part à ces rencontres Internationales avec un soutien pour la prise en charge de leur voyage et/ou leur hébergement une fois sur place.

De plus, la participation à la définition, l’élaboration et la mise en oeuvre des améliorations des anciens et nouveaux protocoles pour l’Internet ne se fait pas uniquement lors de ces rencontres périodiques : loin de là, c’est aussi le fruit d’échanges électroniques par mailing-lists thématiques en fonction des groupes de travail. Mais même là aussi, c’est vraiment pas l’affluence coté participation Africaine. 

Mais il se pose aussi à la base un problème d’intéressement : est-ce que nos acteurs locaux du développement de l’Internet, étatiques, privés et communautaires, s’intéressent à ce qui est fait lors de ces rencontres/ateliers ? que faut-il faire pour susciter plus d’engouement de ces derniers sur le sujet ?

Ne l’oublions jamais, la politique du siège vide ne profite qu’aux présents ! On pointera parfois le doigt sur les Etats Unis d’Amériques, à cause de leur gestion plus ou moins « privée » de certains aspects vitaux de l’Infrastructure de l’Internet mondial, mais n’oublions pas aussi qu’il peuvent se le permettre car à la base ils étaient bien là. Avec près d’un tiers de la participation globale à l’IETF89, on peut aisément imaginer à quel point leurs façons d’apprécier plusieurs des sujets débattus ont de fortes chances de se faire valoir, ne fusse que de part leurs multiples contributions techniques.

P.S : à titre indicatif, le programme d’obtention des bourses pour la participation au prochain meeting de l’IETF, baptisé IETF90, qui se tiendra du 20 au 25 Juillet prochain au Canada est déjà ouvert et accessible par ici http://www.internetsociety.org/ietf-fellows

Valdes T. Nzalli

Project Sonar : from #ScanAllTheThings to #GrepAllTheThings… here we go !

« Unity is strength ! » is with these words that I summarize initiative launched by the holders of this project.

There’s a few years, scan the Internet in its majority* was a challenge for which he had to bring adequate resources, not to mention special (bandwidth, storage space, equipment … ).
These days , with the development of tools, techniques, and lower infrastructure costs, the challenge is smaller. Indeed, the news of theses last months reveals that it is now possible to scan the entire Internet to IP version 4 (see  0.0.0.0/0 ) on a specific communication port in less than an hour [1] or less. [2]
Over time several projects in this direction have emerged, among them in 2012 and we got the « Internet Census«  project whose the process of research is pretty debatable but whom gave results of great value to the Tech community (the valuable datasets nearly 9 terabytes of raw data !)

worldmap_lowres

The Project Sonar aims to establish a repository of all the data from different scans done on the Internet by various researchers around the world , in order to make the results of their work benefits to all .In addition, the project does not stop there because it is possible for others researchers to avoid the tedious job of scanning and just focus only on exploitation of data from differents scans performed by others researchers. Thus, the project takes its essence !
Already now the data of scans done as part of this project and related projects are available on the online platform created for this purpose, a single address for all : https://scans.io/

Apart from facilitating the task for researchers and to maximize the use of data provided by these datasets, I find that this approach avoids that at any time the public interfaces of everyone are scanned, with in some situations can cause latencies or denials of service.

Working for some time on a project about mapping objects and services connected and their vulnerabilities in the African’s countries, this project falls like a godsend for me considerably eases my job !

A big up to the Rapid7s Team and all project partners and affiliated researchers !

Note that far beyond the purely technical aspect , the initiative intended to update several vulnerabilities in our infrastructures and protect themselves as the most frequently involved are not aware of any vulnerability that they  « host » and even if they are aware , they are doing nothing.

More details on the Sonar project here : Welcome To Project Sonar
On methods and tools to use for scans and best practice recommendations , the following link is quite instructive : #ScanAllTheThings

For information, the following link provides a solution set on foot by a researcher in order to facilitate the use of datasets provided by products Sonar Project [3] Reversedns FunnelCloud

*Majority of scan because it does not include (yet) addresses in IPv6 , but no doubt it is only a matter of time. Furthermore, some organizations have made requests to the researchers to exclude their IP ranges from scans.

[1] ZMap

[2] Masscan

[3] Rapid7 – Reverse DNS

Valdes T. Nzalli

Microsoft’s Law Enforcement Requests Report 2013

Il y’a de cela quelques jours, dans sa politique de transparence avec l’utilisation des données utilisateur que l’entreprise traite, Microsoft a publié son rapport semestriel pour les six premiers mois de l’année 2013, récapitulant l’ensemble des requêtes émises par les Agences d’Etat dans le cadre de procédures judiciaires en cours contre l’un ou l’autre des abonnés des services de la firme.

Microsoft_Law_Enforcement_Request_Report

De part ce rapport il advient que 5 pays, à savoir la France, les Etats-Unis d’Amérique, la Turquie, l’Allemagne et l’Angleterre, à eux seul ont émis près de 73% de l’ensemble des requêtes reçues par les services de Microsoft.

Ce qui m’intéresse particulièrement dans ce rapport ce sont les requêtes d’informations émises depuis des pays d’Afrique. Et là le moins qu’on puisse dire c’est qu’il n’y à pas affluence. Les seuls recensés dans le rapport sont la Tanzanie et l’Afrique du Sud, sur un ensemble de plus de 60 pays ayant émis des requêtes !

Ceci me pousse à me poser des questions sur les opérations de nos services judiciaires et de sécurité ici en Afrique. Ce faible tôt de demande d’information serait-il dû  à la non intégration de ces mécanismes dans nos procédures d’enquêtes ? Que dire de nos Agences Nationales de Sécurité Numérique qui très probablement un jour ou l’autre ont eu et auront besoin d’avoir accès à certains détails sur les activités privées en ligne d’un individu (bien entendu, muni d’un mandat judiciaire) afin d’établir, ou pas, sa complicité dans un acte malveillant ou de démanteler un réseau de (cyber)criminels ?

Les détails sur le rapport en question se trouvent par ici

Valdes T. Nzalli

#CmrBlogDay: Pourquoi….

CmrBlogDay  « Je blogue, tu blogues, il/elle blogue… » vous l’aurez remarqué, l’expression est plutôt à la mode ces dernières années. Contrairement à la tendance générale chez  beaucoup de blogueurs, plus jeune, je n’étais pas ce que je qualifierai de champion de l’écriture ; j’aimais la lecture certes, mais l’écriture, en dehors des rédactions académiques n’était pas vraiment ma tasse de thé ! Le temps passe et au fil du temps je découvre plein de choses, de techniques, de concepts, d’histoires, qui me fascinent, me font grandir et m’interpellent. C’est ainsi que naît ma passion pour le blogging, me permettant de partager tout cela avec « les Internets ».

« gars tu es fort hein, comment tu fais pour connaître tous ces sujets sur lesquels tu écris ? » , « où est ce que tu prends le temps d’écrire ? » sont des questions récurrentes que mon entourage me pose ; et comme toujours en guise de réponse je dirai simplement que je blogue non pas parce que je connais trop mais car ça me permet de fouiller un peu plus qu’à la surface de certains sujets, que ce soit l’actualité, un fait vécu que j’aimerai partager ou une situation qui nous interpelle tous. Pour le temps… c’est juste la passion qui me motive, comme plusieurs blogueurs d’ailleurs, car en général nous avons tous des emplois de temps assez chargés, mais on réussit quand même à trouver le temps, ne fusse que périodiquement, pour poser ces lignes en ligne !

Au détour d’une conversation avec un proche, d’une expérience vécu personnellement, d’un événement national ou international, vient ainsi l’idée d’un article qui me pousse à creuser un peu plus en profondeur sur le sujet et se solde généralement par un article ; ceci afin de partager avec la communauté sur le sujet, d’avoir leur différents retours dessus, ou simplement aider ceux à qui ça pourrait être utile.

Par ailleurs, bloguer pour moi est un excellent moyen de sauvegarder le fruit d’une recherche ponctuelle ; ainsi plusieurs mois après je pourrai toujours m’en servir au cas où j’en aurai oublié certains aspects. Eh oui, c’est aussi ça le partage : je partage avec moi même !

Déjà plus de deux ans qu’au travers de mon blog, au-delà d’écrire je m’écris.

Alors chers amis, libérez-vous de vos problèmes de considérations, complexes, angoissent et laissez-vous aller à l’appel du blogging car je sais que vous aussi avez tellement de choses utiles et intéressantes à nous faire découvrir. Bonne Journée Mondiale du Blogging à tous !

Valdes T. Nzalli

A précédé cet article, celui ci : http://ismiblog.wordpress.com/2013/08/31/blogueur-ou-marketer-tout-reside-dans-la-strategie/

La suite par ici http://psychorganisons.com/2013/08/30/pourquoi-je-blogue/

Free Offensive Security Course

off_sec_banner3

Dans le cadre de notre programme de vulgarisation des supports de formation dans le but de renforcer les compétences techniques du maximum de personnes sur la scène locale, nous vous proposons ce programme de formation issu de l’Université d’Etat de Floride, aux Etats Unis. Ce programme a été mis sur pied par deux éminents enseignants à savoir le Professeur Xiuwen Liu et le Professeur W. Owen Redwood. Cette formation a été dispensée au cours du printemps derniers et ses initiateurs ont promis de la mettre continuellement à jour pour une autre session dans la même Université l’année prochaine.

La formation, intitulée « Offensive Security » est disponible en langue anglaise et s’étend sur une période officielle de 15 semaines en moyenne, mais bien sûr, en fonction de vos aptitudes et affinités, rien ne vous empêche de suivre le programme complet en plus ou moins de temps que celui prévu.

Les motivations ayant poussé à la conception de ce cours, telles que données par ses auteurs sont :
“The vision of this class is to fill the common gaps left by most University level security courses, by giving students a deep technical perspective of how things are attacked and hacked. The motivation of teaching such subject material was twofold: primarily to produce skilled students geared to become penetration testers and/or incident responders; and secondarily to hopefully raise the bar for security courses (as there is a real dearth of skilled security professionals coming out of college)”

Ce qui répond grandement à notre besoin car plusieurs ici au Cameroun (et dans d’autres pays) ont eu à faire des cours à l’Université, généralement très concentrés sur les aspects théoriques de la cyber sécurité, ce qui est bien des fois insuffisant pour une insertion professionnelle réussie. Ce programme a donc en partie, pour objectif de combler ce vide et permettre de produire des Professionnels de la Cybersécurite capables de comprendre et d’appliquer les techniques de haut niveau pour résoudre des problèmes techniques potentiellement complexes.

Les supports de cours sont fournis sous forme de présentation téléchargeable au format de votre choix (PDF, PPTX, ODT,…). En plus pour chaque module de cours est disponible une vidéo d’une dure d’environ 1 heure de temps retraçant en « live » la présentation. A la fin de certains modules des exercices sont fournis afin d’évaluer les apprenants. Pour les étudiants de la dites institution, un projet de fin de cours est même disponible. Le programme détaillé de la formation est accessible par ici : Offensive Security Class Syllabus.

Course Objectives :
Upon successful completion of this course of study, the student will:

  •  Know how to identify software flaws discovered through binary and source code auditing
  • Know how to reverse engineer x86 binaries
  • Know how to exploit software flaws (such as injection flaws, buffer overflows)
  • Know how to perform network and host enumeration, as well as OS and service fingerprinting
  • Know how to perform network vulnerability analysis, penetration and post exploitation
  • Know how to effectively report and communicate all of the above flaws”

Tous les supports de formation ainsi que les exercices et les informations complémentaires sont disponibles sur le site de ses concepteurs à cette adresse : Offensive Security Class Website. Notons par ailleurs qu’il vous est possible de télécharger directement le fichier torrent contenant uniquement l’ensemble de toutes les vidéos de la formation (sans les diaporamas et les exercices)

Note : Les supports de cours étant essentiellement en anglais il est nécessaire d’avoir un certain niveau de compréhension de la langue pour pouvoir les suivre. Par ailleurs, nous vous conseillons de travailler avec ces supports en formant des groupes (amis, collègues, club Info/Sec) afin de vous motiver d’avantage et de vous entraider lors de l’apprentissage.

Valdes T. Nzalli

PRISM : Au delà du Scandale !

Dans mon dernier billet je vous parlais du « scandale » actuel occasionné par la publication de documents classés « top secret » de la NSA par un ancien employé de son sous traitant Booz Allen Hamilton dénommé Edouard Snowden. Actuellement toujours dans sa quête d’un asile politique et du moyens de jouir de l’asile qui lui est proposé en Amérique Latine, son sort reste pour le moins incertain. [1]

Loin du débat autour des raisons et frontières de l’espionnage électronique (qui n’est qu’un pan du phénomène), loin de la polémique autour de la méthode utilisée par Snowden pour divulguer l’information, loin des récupérations politiques et du tapage médiatique occasionnés par ce dossier, quelques détails semblent tout de même assez instructifs et révélateurs : le « comment » de l’exfiltration de ces données normalement gardées sous haute surveillance (électronique et physique) !

Dans le principe général de sécurité périmétrique on a plus tendance à traiter tout ce qui est hors du réseau comme élément (potentiellement) « hostile » tandis que ceux à l’intérieur jouissent facilement de plus de privilèges et d’une certaine relation confiance. Mais voilà que faire lorsque le mal se trouve plutôt à l’intérieur ?! Ce phénomène est représenté par l’appellation, en anglais,  « Insider Threat » !

Le scandale occasionné par les révélations sur l’affaire PRISM est un cas pratique d’Insider Threat. Les mesures de sécurité de nos entreprises prennent-elles suffisamment en compte la protection contre les menaces (fraude, malversation, déstabilisation,…) internes ?! Quels sont les mécanismes qui sont mis en œuvre pour prévenir, détecter et limiter leur impact ?!

Dans le même ordre d’idée la gestion des utilisateurs avec privilèges élevés pose aussi problème ; Comment s’assurer qu’un utilisateur, avec ses droits d’accès élevés, à l’exemple des Administrateurs systèmes et réseaux, n’est pas entrain d’en profiter pour bypasser certaines mesures de sécurité et mettre la main sur des données hautement sensibles tant pour l’entreprise que pour ses partenaires et même de l’Etat, comme ce fut le cas ? Et que dire de tous ces Patrons, chefs d’entreprises et autres Managers (pas toujours réputés pour savoir protéger les identifiants) qui ont généralement (du moins dans la plupart des PME) un accès total à TOUT dans l’entreprise que ce soit technique, financier ou managérial, au cas où leur credentials seraient compromis (et rassurez vous, ça arrive bien des fois ) à l’exemple de Snowden qui a cloné les accès d’une personne hiérarchiquement mieux placée pour avoir accès à ces informations, que faire face à ce type de situation ?! [2]

C’est dans ce genre de scénario qu’interviennent les solutions de gestion d’identité et d’accès (IAM = Identity and Access Management). Grosso-modo, elles permettent de gérer qui a droit à quoi ainsi que les limites d’usage de ce droit. Ce serait bien naïf de penser qu’une boite du calibre de la NSA ne possède pas de solution d’IAM. Toutefois, leur Système Informatique bien qu’étant bien outillé, hautement sécurisé et tout a quand même permis à un individu d’accéder, à plusieurs reprises, sans attirer l’attention de personne, à certains dossiers très sensibles, sous la cape d’une autre personne (ID Theft. Il a certes utilisé les accès d’un utilisateur avec privilège mais n’empêche que l’accès à toute donnée plus ou moins sensible dans un Système d’Information qui se respecte doit TOUJOURS être journalisé et les logs sauvegardés de façon non altérable. [3]

C’est assez curieux qu’une agence dont l’une des missions principales est de TOUT collecter sur TOUT pour ensuite analyser n’ait pas appliqué la même formule pour ses affaires internes, pas assez en tout cas. Il y’a quelque temps le Général Keith Alexander, patron de la NSA, à l’issu de ce scandale à annoncé qu’ils allaient mettre sur pieds un nouveau procédé nécessitant la combinaison de deux personnes (au lieu d’un seul comme c’est le cas actuellement) afin d’avoir accès à des données critiques. Comme l’ont relevé plusieurs Experts du domaine, c’est peux être bien (mieux que rien en tout cas) dans un début mais que faire en cas de complicité des deux ou de menaces (chantage et autres) du second membre du binôme ? D’où la nécessité de trouver une solution pérenne pour ce genre de problématique.

A mon avis, quelque soit la solution, elle devra prendre en compte le fait de déjà limiter le nombre d’intervenants potentiels car moins il y’a de personnes pouvant avoir accès plus le risque de fuite est réduit. A notre tour, dans nos entreprises quelles sont les personnes pouvant avoir accès aux informations sensibles ?! De quel type de privilège d’accès jouissent ces personnes ?! Pouvons nous avec exactitude savoir qui à eu accès à quoi ? quand ? depuis où ? et quel type d’accès (copy, ecriture, modification, suppression, …) est ce que la personne à eu ? Quid des dispositifs de DLP (Data Leak Prevention) ? Avons nous des moyens de monitorer toute l’activité de nos utilisateur (ou du moins celle en relation avec les données sensibles) ? Pareil pour les logs de nos applications, sont-ils eux aussi archivés et analysés ?

Quelques piste qui réduiront considérablement les risques de fuite de données interne :

  • Identifier les données sensibles ainsi que leur(s) emplacement(s)
  • Elaborer les process : c’est à dire définir qui à droit à quoi, quand et depuis quel Poste / Segment du réseau / Type de connexion / Adresse / ..
  • Implémenter une solution d’Identity and Access Management permettant d’appliquer les workflows de l’entreprise (tel que défini dans le précédent point) et une gestion plus flexibles des droits et accès.
  • Journaliser, Monitorer et Analyser (Applicatifs, Systèmes, Réseaux,…): cette étape est doublement utile, premièrement dans la détection d’un incident éventuel, et deuxièmement en cas d’enquête ou de reconstitution des faits. [4]

Nul besoin de préciser ici qu’avoir un personnel compétent et régulièrement recyclé est de rigueur. Soyons clair, ceci ne nous mettra pas à 100 % à l’abri des risques de fuite de données, mais nous épargnera d’un quantité considérable de risques potentiels ; car rappelons-le une fois de plus, la Sécurité des Systèmes d’Informations, loin d’être un produit en soi, est avant tout une démarche marquée par plusieurs jalons.

Valdes T. Nzalli

Liens utiles :

[1] Je m’appelle Edouard Snowden, j’ai voulu un monde juste !
[2] Insider Threat Sheet (PDF)
[3] Network Security Fundamentals: Monitor Everything
[4] Six tips for building a successful SIEM strategy

Souveraineté Numérique et Raison d’Etat

Vous l’aurez sans doute remarqué, le buzz depuis les semaines passées est aux récentes révélations d’actes d’espionnage et de surveillance massive orchestrés par la NSA (National Security Agency) des USA, mis au grand jour par un ancien employé de la CIA travaillant chez un sous-traitant de la NSA à Hawaï par le truchement des quotidiens britanique « The Guardian » et Américain « Whashington Post ». Ce programme baptisé « PRISM » aurait vu le jour depuis 2007 et il en ressort que les Etats Unis ne seraient pas les seuls bénéficiaires des informations collectées. Une compilation succincte d’informations au sujet du programme PRISM est disponible sur le site de Qualys [1].

soldantSuite à tout ceci la première question qui vient à l’esprit c’est de savoir si un programme comme   PRISM (car il y’en a probablement d’autres pas nécessairement connus du grand public) est-il légal ? Après les sorties du président Barack Obama et du Directeur de la NSA, il advient que jusqu’à présent ce programme est connu et approuvé par la loi… aux USA ! Du coup on se demande, Qu’en est-il du reste du monde qui n’est pas Américain/ne vivant pas aux USA et dont les informations transitent et sont traitées par les plateformes incriminées (Facebook, Microsoft, Skype, Google, Apple, …) ?

De par l’évolution des TIC, on retient que la surveillance et l’espionnage des communications est un fait avéré et répandu (à tort ou à raison) et il y’aura toujours des moyens/procédés/solutions de plus en plus subtiles pour permettre aux gouvernements de le faire. Personnellement, tout ce buzz me semble un peu surfait, mais bon, le grand public découvre que l’eau chaude chauffe ! Par contre l’une des choses qui m’a le plus marqué c’est que suite à cette déclaration selon laquelle l’administration Obama via ses services secrets n’espionnent QUE les étrangers, l’enthousiasme de plusieurs agitateurs/agités a chuté ! Comme quoi l’espionnage n’est mauvais que si et seulement si il inclue comme cible les citoyens Américains.

Il est important de noter que très peu de Gouvernements/Organisations ce sont sentis concernés par cette nouvelle, bien que quelques uns ont tout de même réagit à l’exemple de la Norvège qui, par son Secrétaire d’Etat, a tout de suite réclamé aux Officiels Américains de plus amples informations afin de savoir comment ses citoyens sont affectés par ce programme. Quelques temps après c’était au tour de l’Union Européenne, via sa Commissaire Chargée de la Justice, de monter au créneau concernant cette affaire en exigeant que la vie privée des citoyens européens soit aussi préservée comme celles des Américains au cours de ce programme[2]. Coté Africain, aucun Etat, ni l’Union Africaine ne s’est senti particulièrement concerné ! Nothing… nada… rien… jusqu’à présent vu le silence qui règne ; Faut bien croire que ça ne nous gêne pas vraiment. Et puis, c’est pas trop comme si ça date d’aujourd’hui que nos gouvernements Africains n’osent demander des comptes aux « grandes puissances » ! d’ailleurs que rien n’exclue qu’ils ne soient au courant de la chose depuis longtemps  ou qu’ils n’aient leur part de programmes similaires déjà opérationnels (après tout, ne dit-on pas « tout le monde espionne et surveille » ! Dire que ces dernières semaines nous avons eu et aurons droit à plusieurs événements d’envergure ici en Afrique portant sur Internet, son rôle dans notre développement et sa gouvernance ; J’ose croire qu’au cours de toutes ces rencontres le sujet ait été à l’ordre du jour d’un quelconque atelier !

Je vois ici une affirmation (abus?) d’une position dominante, vu que tous les opérateurs cités sont essentiellement des firmes Américaines dont plusieurs autres entreprises et individus de part le monde en dépendent. Qui pourra y faire quoi ?! Personne ! Vous comptez les boycotter ?! J’en doute en tout cas pas de ci tôt avec toutes les données qu’ils possèdent déjà et la dépendance (vitale?) par laquelle ils vous tiennent. Et si bien même quelques uns les boycottaient, le gros de leurs clientèle sera toujours intact. Quelqu’un d’autre aurait dit qu’il s’agit d’un cercle vicieux !

Tout ceci a mon avis relance en partie le débat sur la Souveraineté Numérique des Nations/Organisations régionales. Allant de la fabrication des matériels de nos Infrastructures à la production de solution logicielles pérennes sur notre sol en passant par la formation, l’encadrement et la mise en service du personnel qualifié. En Europe, ils en sont déjà déjà par exemple à affiner leur Stratégie Globale sur le Cloud [3] ainsi que leur projet de Loi sur la vie Privée devant s’appliquer dans leur espace géographique ainsi qu’à tous leurs ressortissants. Entre temps ici en Afrique qu’avons nous ?! Bah rien pour l’instant ! Une pensée générale dit : « Celui qui a l’Information a le Pouvoir » ! je trouve qu’elle cadre bien avec cette situation qui nous sied.

Nul besoin de mentionner les retours positifs que cela pourrait avoir sur l’ensemble du continent passant de la réduction du taux de chômage des jeunes à la création de la richesse via la commercialisation de nos solutions locales, l’impact sur le développement global et bien d’autres ; bref on y gagnerait sur toute la ligne.

Bien sûr, être le moins numériquement dépendant ne nous mettra pas entièrement à l’abri des grandes oreilles des Agences de Renseignement occidentales (et Asiatique), mais ce sera déjà un pas en avant car rappelons le, la protection de l’information n’est pas un produit en soit, mais tout un processus marqué par plusieurs jalons.

Note : Dans ce billet je ne me préoccupe pas de savoir comment la NSA procède pour obtenir les données de ses « fournisseurs ». De plus il n’est pas question ici du bien fondé d’une surveillance de l’Internet et encore moins de savoir si nos propres Etats ne possèdent pas de mécanismes similaires.

Liens Utiles :

[1] Que sait-on exactement sur PRISM ?
[2] Espionnage : Bruxelles tance Washington
[3] New strategy to drive European business and government productivity via cloud computing
[4] Souveraineté Numérique : Cas de l’Afrique
[
5] Comprendre le programme « Prism »

Réseaux Sociaux et Sécurité avec les étudiants de la FGI, Douala

Dans le cadre de ses activités de sensibilisation du public sur l’usage de manière sécurisée des Technologies de l’information et de la Communication, il s’est tenu le 10 Mai dernier dans l’enceinte de la Faculté de Génie Industriel (FGI) raccordée à l’Université de Douala un atelier de 2 heures et demi sur le thème « Réseaux Sociaux et Sécurité ». Cet atelier est le fruit d’un concours d’efforts volontaires ayant vu la participation du Club Informatique de la FGI dans la planification et la coordination ainsi que l’Administration de l’Université de Douala pour avoir permis que cette rencontre ait lieu dans son enceinte.

Vous trouverez ci-dessous la présentation passée ce jour. Lors de l’atelier, une question posée était de savoir comment protéger sa boite mail, comment savoir si quelqu’un d’autre a eu accès à sa boite et que faire en cas de piratage de son compte, le lien suivant est un précédent billet assez détaillé sur le sujet : Et si on parlait de nos boites mails?

Il est à noter que ce genre de rencontres vont s’étendre dans les établissements scolaires avec le temps et nous appelons ainsi les différents Clubs Informatique/Sécurité des dits établissements à bien vouloir rentrer en contact avec nous pour planification, ceci par mail (contact@camcybersec.cm) ou tout simplement en utilisant le formulaire de contact présent sur le site de l’Association : http://www.camcybersec.cm/contact/

La presentation est disponible en téléchargement direct par ici :  CamCyberSec_FGI_reseaux_sociaux_et_securite_version_1.1

et directement consultable en ligne par ici sur mon espace Slideshare.

Valdes T. Nzalli