L’adresse IP dynamique est une donnée personnelle

european_court_of_justice_-_luxembourg_1674586821

 

Un internaute allemand a saisi la CJUE (Cours de Justice de l’Union Européenne) contre l’enregistrement et la conservation de son adresse IP lors de sa visite sur des sites des services fédéraux.

La CJUE a rendu son verdict [1] et considère l’adresse IP comme une donnée personnelle au sens de la directive 95-46-ce [2].

Une donnée personnelle sous condition

Pour que l’adresse IP soit considérée comme une donnée personnelle, la CJUE pose la condition préalable que l’éditeur « dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ».

Conservation

Dans l’article 7 de la directive, sous f) indique que « les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si (…) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 ».

Il est donc possible pour l’exploitant d’un site de conserver des données personnelles si celui-ci a un intérêt légitime, par exemple lorsqu’il s’agit de se défendre contre les DDoS ou autres attaques informatiques, afin d’assurer in fine la continuité de son service.

Conclusion

Ce jugement vient donc compléter la réglementation suisse pour qui une adresse IP constitue une donnée personnelle pour les FAI, ainsi que pour les autorités puisqu’elles peuvent exiger l’identification de l’individu selon les art. 14 et 15 de la loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT) [3].

 

[1] https://cdn2.nextinpact.com/medias/c582_14.pdf

[2] http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_en.pdf

[3] https://francoischarlet.ch/2012/communication-de-donnees-personnelles-par-un-fai-notamment-ladresse-ip/

 

 

Categories: Informatique, Politique

Le rapport sur l’attaque contre RUAG

ruag

 

La Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) a, sur mandat du Conseil fédéral, publié un rapport avec les éléments techniques du  cas ayant touché RUAG. Ce rapport est destiné aux professionnels de la sécurité, et doit les soutenir dans leur tâche d’identification des risques dans leurs réseaux et de mise en place de mesures de sécurité.

Dans ce rapport, nous découvrons plus en détail la mise en oeuvre de cette attaque.

 

Pas de politique de monitoring et de suivis des log

 

imageGO7HY

 

Premièrement, le virus utlisé est de la famille Turla. Cette famille de virus puissant attaque depuis 2008 plusieurs service gouvernementaux, états et armée dans le monde. On soupçonne la Russie d’être derrière ce virus. Il existe plusieurs variantes de ce logiciel malveillant, dont une utilisant des satellites afin de faire transiter les données volées. La variante utilisée contre RUAG ne dissimulait pas son activité et n’était donc pas couvert par un rootkit. Toute l’activitée du virus est donc enregistrée dans les logs systèmes et ceux du système de monitoring ou du proxy (lorsqu’il y en a un).

Bizarrement, il a fallut à RUAG qu’un service étranger l’informe de l’attaque en décembre 2015 pout que l’entreprise réagisse. Ceci démontre qu’il n’y a eu aucun suivi des journaux logs ni de monitoring qui aurait permis de déceller cette attaque bien plus tôt.

 

Une mauvaise hiérarchisation des réseaux

Le virus a attaqué le service Active Directory (AD) qui est un annuaire pour groupes et utilisateurs de Windows. Pour une bonne pratique, il est important de hiérarchiser et d’isoler les réseaux afin d’éviter qu’une élévation de privilège permette d’atteindre un réseau de plus haut élevé.

Selon le rapport, les auteurs de l’attaque ont réussit a infecter le serveur AD et a effectuer un mouvement latérale permettant d’atteindre un niveau de droits plus élevé. Cela est possible grâce à une mauvaise topologie réseaux et une mauvaise isolation des différents groupes.

 

Date de l’infection inconnue

Nous avons lu dans la presse que l’attaque date de septembre 2014 mais cette information n’est pas vraiment juste. En faite, l’attaque date au-moins de septembre 2014. Les journaux logs n’étant pas conservés assez longtemps, il est impossible de remonter des informations datant d’une date antérieure.

 

Quantitée et nature des données volées inconnue

Comme la totalité des journaux logs n’a pu être récupérée, il est impossible de connaitre la quantité totale, ni la nature des données volée. Nous ne pouvons qu’affirmer qu’environs 20 Gb de données ont été volées depuis septembre 2014.

 

Impossible d’évaluer les dégats

Le rapport note qu’il est extrêmement difficile d’évaluer les dégats. Ceci à cause d’une mauvaise gestion et un non-suivis des fichiers journaux. Alors que les livres de comptes doivent être conservés 10 ans suivant la loi suisse (OLICO), les logs ne sont pas soumis à une réglementation. Dans le cas de RUAG, la durée de conservation des logs parraît tout de même particulièrement courte (environs une année).

 

Aucune info secrète volée ?

Malgré cela, l’entreprise assure qu’aucune donnée secrète n’a été volée, celles-ci ne fesant pas partie d’un réseau ouvert sur l’internet. Par-contre, des données confidentielles se trouvaient sur ces système dans un format chiffré. L’entreprise garanti que les attaquants n’ont pas eu la capacité de les dechiffrer mais comme il leur a été possible d’effectuer un mouvement latéral, rien ne garanti que les clés ne se soient pas retrouvées sur le réseau (il faut de toute façon utiliser la clé à un moment ou a un autre pour pouvoir déchiffrer les données, même poour les employés de RUAG) et que les attaquants ne s’en soient emparés.

L’entreprise minimise aussi l’importance de l’attaque: elle ne concernerait que 1 pour mille des données générées par RUAG. Malheureusement, l’importance d’une attaque ne peut être reliée à la seule quantitée de données volées, c’est la valeur de ces données qui est déterminante. Nous pouvons avoir des milliers d’informations sur le fonctionnement d’une entreprise mais une seule information de valeur quant à un éventuel rachat permettrait de tricher en bourse.

 

Conclusion

Malgré les tentatives de minimisation de la part de RUAG, cette attaque doit être considérée comme une attaque de grande gravité. La cible stratégique qu’est RUAG et son lien avec le DDPS en font une cible critique pour les états étrangers. La complexité du virus utilisé et son histoire privilégie un attaquant de grande puissance avec un soutient étatique. Finalement, le manque de suivis et de contrôle sur les données sortantes des serveurs de RUAG démontre une grande naïveté de l’entreprise face aux menaces informatiques et ruine la possibilité de connaître la nature et la quantité réelle des données volées.

Des mesures ont été prises (gardées secrètes), mais il est important que les entreprises proche de la Confédération puissent avoir un standard commun en matière de cibersécurité. Ceci devrait être dévolu à un organe de la Confédération (peut-être MELANI)  chargée d’établir une stratégie et un standard minimum de protection informatique pour les entreprises et organes affiliés à la Confédération. une pareille structure devrait se retrouver au niveau cantonal.

 

https://www.melani.admin.ch/melani/fr/home/documentation/rapports/rapports-techniques/technical-report_apt_case_ruag.html

http://www.agefi.com/ageficom/news/detail-ageficom/edition/online/article/dans-un-document-ruag-precise-quaucune-donnee-secrete-na-ete-volee-lors-de-lattaque-informatique-ce-type-de-donnees-nest-pas-enregistre-sur-les-systemes-ruag-connectes-a-internet-426573.html

Categories: Informatique, Politique

Cumulus, le cloud en mode Emmental

emmecloud

En juillet dernier, la Confédération a lancé un appel d’offre en vu de se doter de sa propre plateforme Cloud. Aujourd’hui, l’OFIT rend publique le résultat et son choix c’est porté sur les entreprises américaines Teradata et Hewlett-Packard. Le but de la Confédération de baisser les coûts, d’augmenter l’efficacité et la sécurité est certes louable mais le fait de s’équiper avec du matériel américain vas totalement à l’encontre des mesures de sécurité et de confidentialité que se doit d’avoir ce genre d’infrastructure.

En effet, la firme HP est connue pour implémenter des modules permettant à la NSA et ces différents services de récolter toutes les données transitant par les infrastructures concernées. En 2007, on découvrait un backdoor (porte-dérobée) affectant 23 modèles de laptop de la marque.  En 2008, le service ANT (Access Network Technology) qui fournit aux différents services les outils d’espionnages proposait IronChef, un système touchant directement les serveurs Proliant d’HP.

IRONCHEF provides access persistence to target systems by exploiting the motherboard BIOS and utilizing System Management Mode (SMM) to communicate with a hardware implant that provides two-way RF communication. (HP Proliant 380DL G5 server)

IRONCHEF provides access persistence to target systems by exploiting the motherboard BIOS and utilizing System Management Mode (SMM) to communicate with a hardware implant that provides two-way RF communication. (HP Proliant 380DL G5 server)

En 2010, un nouveau backdoor est apparu dans un système de stockage HP.

Enfin, en 2013, HP doit à nouveau avouer la présence d’un backdoor dans ses systèmes de stockages, une porte ouverte sur un accès administrateur présent depuis 2009.

 

Que faire ?

Malheureusement, HP n’est pas  la seule marque qui connaît ce genre de rapprochement avec la NSA, Cisco ou Dell sont aussi impliquées dans cet espionnage à grande échelle.  Les chinois avec Huawei ainsi les russes prennent part à ce jeu, même si l’on en entend moins parler. Le plus effrayant, c’est que l’on sait maintenant que la NSA implémente ces espions dans le matériel directement, dans les firmwares (des disques dures Western Digital par exemple) ou dans le BIOS des produits américains.

Dès lors, il y a deux pistes à exploiter.

La première consiste à donner le mandat à nos École Polytechniques de développer, en partenariat avec des entreprises suisses, le matériel ainsi que les logiciels indispensable à l’infrastructure d’un Cloud  en se basant sur des logiciels open sources déjà existant. Cette solution a les avantages de donner un superbe essor au développement de la technologie suisse ainsi que que de positionner notre pays sur le marché du Big Data en adaptant la Constitution pour garantir l’identité numérique et en mettant en place un véritable réduit national numérique.

La deuxième solution ou solution du moindre mal consiste à exiger l’inspection des codes sources et du matériel étrangers comme l’a fait la Chine. Mais cette solution ne peut être parfaite car la technologie avançant, il sera de plus en plus difficile de déceler des backdoor infiltrés directement dans les processeurs ou puces électroniques.

La sécurité informatique repose sur 3 axes:
– le facteur logiciel (des entreprises suisses comme Exocloud ou Cloudfoundry sont compétentes dans ce domaine)
– le facteur matériel (un mandat pour l’EPFL serait une bonne solution)
– le facteur humain qui est le plus critique (une formation et un contrôle stricte doit se faire à l’interne)

La Confédération se doit de prendre en compte ces trois axes dans l’élaboration de sa stratégie informatique.  Dans le cas contraire, c’est la porte ouverte à de potentielles attaques sur des infrastructures critiques tel que la défense, la stratégie énergétique et économique. Il faut impérativement se préparer maintenant à faire face à ces nouvelles menaces, lorsque l’on sera mis sous pression par les USA (on à déjà eu un avant goût avec lors de la guerre qu’ils ont remporté sur le secret bancaire)  ou quand l’Union Européenne voudra vraiment affaiblir la Suisse, il sera trop tard…

 

 

Sources :

http://www.ictjournal.ch/News/2015/04/23/HP-deploiera-le-cloud-de-la-Confederation.aspx

Nokia lancerait sa tablette Windows RT en septembre


http://www.itbusinessedge.com/cm/blogs/weinschenk/security-staffs-must-beware-as-hackers-knock-on-the-backdoor/?cs=13603
https://nsa.gov1.info/dni/nsa-ant-catalog/servers/index.html#IRONCHEF
http://www.securityweek.com/backdoor-vulnerability-discovered-hp-msa2000-storage-systems
http://news.dice.com/2013/07/11/hp-keeps-installing-secret-backdoors-in-enterprise-storage/http://www.zdnet.fr/actualites/la-chine-veut-voir-le-code-source-des-logiciels-etrangers-39813834.htm

Categories: Informatique, Politique