Site WWW de Laurent Bloch
Slogan du site

ISSN 2271-3905
Cliquez ici si vous voulez visiter mon autre site, orienté vers des sujets moins techniques.

Pour recevoir (au plus une fois par semaine) les nouveautés de ce site, indiquez ici votre adresse électronique :

Le programme Einstein 3 pour protéger les infrastructures critiques
Cela peut-il marcher ?
Article mis en ligne le 11 août 2012
dernière modification le 6 mars 2015

par Laurent Bloch

Cet texte est le compte-rendu de l’article Can It Really Work ? Problems with Extending EINSTEIN 3 to Critical Infrastructure publié dans le volume 3 (janvier 2012) du Harvard National Security Journal par Steven M. Bellovin, Scott O. Bradner, Whitfield Diffie, Susan Landau et Jennifer Rexford. Cet article peut être consulté ici : http://harvardnsj.org/volume-3/.

La protection des systèmes fédéraux américains

Face à l’augmentation en nombre et en gravité des cyberattaques contre les systèmes informatiques des agences fédérales civiles, le gouvernement américain, et plus précisément la National Cyber Security Division du Department of Homeland Security, a lancé en 2004 un programme classifié, EINSTEIN, destiné à collecter, à corréler et à analyser en temps réel les données relatives aux intrusions dans les systèmes informatiques fédéraux civils. EINSTEIN a progressé en étapes, EINSTEIN 2 et EINSTEIN 3 ; cette dernière étape prévoit l’extension du dispositif aux « infrastructures critiques » exploitées par des entreprises privées, ce qui ne va pas sans susciter le scepticisme des auteurs de l’article évoqué ici.

À compter de janvier 2008, la démarche EINSTEIN s’est inscrite dans un cadre plus vaste, la Comprehensive National Cybersecurity Initiative (CNCI), lancée à cette date par l’administration Bush. La CNCI vise, entre autres mesures, à regrouper les systèmes informatiques fédéraux dans un réseau cohérent doté de points d’accès spécifiques et restreints, les Trusted Internet Connections (TIC), exploités par des Trusted Internet Connections Access Providers (TICAP).

Il est prévu que le programme EINSTEIN contribue au programme TIC en équipant les TIC de systèmes de détection et de prévention des intrusions (IDS et IPS), afin de collecter les informations de session relatives à des trafics de données suspects et de les transmettre à US-CERT (United States Computer Emergency Readiness Team). Les informations de session décrivent l’origine, la date et la destination du trafic considéré, ainsi que sa nature, mais pas son contenu. Avant EINSTEIN, il n’existait aucun dispositif de consolidation systématique des informations sur les cyberattaques contre les agences gouvernementales.

Si l’utilisation d’IDS et d’IPS n’est pas une nouveauté, en centraliser l’exploitation pour un périmètre aussi vaste que celui du gouvernement fédéral américain et de ses agences civiles comporte plusieurs défis techniques inédits.

EINSTEIN et ses évolutions EINSTEIN 2 et EINSTEIN 3 sont basés sur des systèmes de détection et de prévention des intrusions (IDS pour EINSTEIN 2, IPS pour EINSTEIN 3). EINSTEIN initial était facultatif, et n’a connu qu’un succès mitigé. EINSTEIN 2 a rendu le programme obligatoire pour toutes les agences.

Principes de la détection d’intrusion

Les systèmes de détection et de prévention d’intrusions (IDS/IPS) recourent à deux familles de techniques :

 La constitution de bases de données de signatures d’attaques : quand une attaque a été repérée et analysée, il est possible en général d’identifier un certain nombre de données qui en constituent la signature. Ce peut être un texte caractéristique dans une adresse Web, dans un message électronique ou dans le flux de données, ou une séquence singulière d’échanges sur le réseau. Ces signatures sont répertoriées dans des bases de données que les systèmes de détection utilisent pour repérer les attaques correspondantes. Cela ne fonctionne évidemment que pour les attaques déjà connues. En outre, les attaques les plus récentes sont conçues de sorte à tromper les systèmes de détection, en faisant varier leur forme.
 L’analyse statistique du trafic réseau, afin de caractériser le trafic « normal », et d’identifier par comparaison un trafic « anormal », par définition suspect. Cette démarche commence par une phase d’apprentissage, qui permet d’acquérir les caractéristiques du trafic « normal », en termes de volume, de nature, de variations dans le temps. Une fois cela fait, en tenant compte des approximations nécessaires, le système doit en principe pouvoir détecter un trafic « anormal », qui risque de correspondre soit à une attaque, soit au dysfonctionnement d’un élément du réseau.

Pour une mise en œuvre efficace des deux techniques mentionnées ici, il faut analyser la totalité du trafic réseau considéré, un échantillonage ne suffit pas. Dans le cas du programme EINSTEIN, l’ambition de faire des corrélations pour l’ensemble du périmètre des agences fédérales impose de consolider la totalité des données collectées par les TIC, ce qui représente une charge considérable tant en transfert de données qu’en stockage. Nos auteurs signalent que des attaques par déni de service avec des débits de 100 Gb/s ont été observées, et remarquent que la consolidation des données peut avoir des effets collatéraux indésirables, par exemple en affectant des serveurs non touchés par le déni de service, mais connectés au même TIC.

Einstein 3 : l’extension aux infrastructures critiques du secteur privé

C’est le dernier avatar du programme, EINSTEIN 3, qui fait l’objet de l’article analysé ici, dont les auteurs cités ci-dessus sont des experts reconnus de la sécurité informatique et des réseaux, et même pour certains d’entre eux des sommités mondiales. EINSTEIN 3 envisage d’étendre les mesures de protection prévues pour les agences fédérales à tous les opérateurs d’infrastructures critiques (réseaux informatiques et de télécommunication, distribution d’eau et d’électricité notamment), publics ou privés.

L’extension au secteur privé d’un programme tel qu’EINSTEIN pose plusieurs problèmes :

 Le premier est celui de l’échelle des infrastructures considérées, qui est considérable. Scruter et analyser les activités d’un réseau utilisé par les deux millions d’agents des administrations fédérales américaines et corréler de façon centralisée en temps réel toutes les informations issues de ces activités est déjà un objectif très ambitieux au regard des techniques disponibles aujourd’hui, en faire autant pour le système de contrôle et de supervision du réseau électrique qui dessert plus de cent millions de ménages et des millions d’entreprises est clairement hors de portée du projet tel qu’il est conçu. L’article de nos auteurs cite une étude réalisée par Lockheed Martin selon laquelle en 2015 le réseau électrique intelligent (smart grid) offrira 440 millions de points d’attaque potentiels, et donne des estimations chiffrées des infrastructures qu’ils estiment nécessaires pour atteindre les objectifs énoncés sur un tel périmètre.
 Le second est celui de l’adaptation des technologies mises en œuvre au caractère critique des infrastructures considérées : en effet il ne faut pas que le fonctionnement des IDS/IPS ralentisse ou perturbe le fonctionnement des systèmes de contrôle des infrastructures, justement parce qu’elles sont critiques ; or les IDS/IPS sont par nature des systèmes intrusifs et perturbateurs. Par ailleurs, l’application de l’architecture prévue pour EINSTEIN à l’ensemble des réseaux utilisés par les opérateurs des infrastructures considérées imposerait que leur accès à l’Internet passe par des TIC, ce qui ne serait pas forcément compatible, ni techniquement ni contractuellement, avec l’organisation de ces opérateurs, et il semble difficile que le gouvernement fédéral leur impose les technologies de réseau qu’ils devraient employer.
 Le troisième est celui des questions juridiques et réglementaires soulevées par le programme. En effet les opérateurs des infrastructures critiques sont des entreprises privées, en concurrence entre elles, et de ce fait, par exemple, réticentes à l’idée qu’un programme comme EINSTEIN puisse collecter des informations qu’elles considèrent comme confidentielles, et en faire un usage qu’elles ne puissent pas contrôler. De surcroît, de par sa nature, l’exploitation d’un IPS ne peut pas se borner à l’analyse des données de session, mais doit également analyser le contenu des communications, ce qui reviendrait à établir une surveillance généralisée de réseaux mis en œuvre et utilisés par des acteurs très variés, ce qui semble difficile à accepter par au moins certains d’entre eux.

Accès de confiance à l’Internet ?

Pour tout observateur un peu attentif des questions de cybersécurité, les notions même de Trusted Internet Connection (TIC) et de Trusted Internet Connections Access Providers (TICAP) sont douteuses. Elles postulent une limite claire entre une zone intérieure sûre et une zone extérieure potentiellement dangereuse, et la possibilité de contrôler les passages de l’une à l’autre : à l’heure où le moindre téléphone portable doté d’une connexion 3G et d’un accès WiFi peut servir de passerelle pour enjamber la barrière, ce postulat semble peu prometteur. Sans parler du fait que le trafic chiffré peut servir de vecteur furtif à une cyberattaque, à moins que l’on impose le déchiffrement du trafic chiffré au passage d’un TIC, un peu comme il faut ouvrir ses valises pour la douane à un poste frontière, mais alors les TIC doivent stocker les clés de chiffrement, ce qui complique horriblement le problème, tout en faisant des TIC une cible de choix pour les assaillants.

En outre, la notion de TIC suppose qu’aucune cyberattaque ne peut venir de l’« intérieur », ce qui est démenti par l’expérience, peu réaliste lorsque la population de l’« intérieur » est constituée des deux millions de personnels des agences fédérales, et franchement erroné si cette population vient s’accroître des personnels des opérateurs privés, de leurs clients et de leurs fournisseurs, y compris à l’étranger.

En outre, Trusted Internet Connection signifie « connexion de confiance » : on peut à la rigueur comprendre ce qu’est la confiance du gouvernement américain dans les accès de ses agences à l’Internet, mais dans le contexte d’une extension à des opérateurs privés, il s’agit d’instaurer une confiance mutuelle entre une multitude d’acteurs, éventuellement concurrents, dont certains seront opérateurs de TICAP que leurs concurrents devront utiliser, et où ils devront laisser examiner leurs données en transit. On souhaite bien du plaisir au rédacteur de la politique de sécurité du TICAP, sauf évidemment s’il est payé à la ligne et à la minute de négociation, auquel cas il devrait accroître sensiblement sa prospérité.

Questions de confidentialité

En fait, l’extension du programme EINSTEIN à des réseaux utilisés par des acteurs privés pour des activités commerciales ordinaires ne va pas sans soulever une kyrielle de questions de confidentialité, parce que tant les données échangées que les observations réalisées par les systèmes de protection et que les bases de données de signatures utilisées par le programme vont constituer un mélange inextricable de données privées de personnes privées, de données confidentielles d’entreprises privées et de données confidentielles d’administrations gouvernementales, ce qui ne manquera pas de susciter d’innombrables conflits d’intérêts, parce que les mesures de protection qui devront être appliquées à chacune de ces catégories de données seront différentes et incompatibles entre elles. Il suffit pour s’en convaincre de penser aux palabres entre les opérateurs de téléphonie français à propos du dégroupage et des bases de données d’abonnés, ce qui représente un problème minuscule en regard d’un programme comme EINSTEIN.

Pour ajouter à la complexité de la situation, la plupart des opérateurs privés utilisent déjà des IDS et des IPS : comment leur action se combinera-t-elle à celle des IDS/IPS d’Einstein ? Qui administrera les plates-formes sur lesquelles seront stockées les bases de données, dont certaines appartiendront à des acteurs privés (éventuellement concurrents) et d’autres à des acteurs publics, chacun avec ses propres règles de confidentialité ?

En outre, s’il est peut-être légitime que le gouvernement surveille étroitement les échanges de données de ses propres agences, il n’en va pas de même pour des communications privées. Examiner en détail le contenu de communications privées sans mandat judiciaire et sans motif légitime d’enquête est une violation du secret des correspondances, qui peut s’apparenter aux écoutes illégales dont la vie politique et judiciaire française est régulièrement agitée.

Qu’est-il possible de faire réellement ?

En fait le programme dans son ensemble est totalement irréaliste, et nos auteurs le comparent au plan de barrière virtuelle électronique le long de la frontière américano-mexicaine, défendu en son temps (2005) par le Gouverneur de l’Arizona Janet Napolitano, et annulé en 2011 par la Secrétaire à la Sécurité intérieure Janet Napolitano, après dépense d’un milliard de dollars et constatation de l’échec du projet.

Selon certains observateurs il ne serait pas à exclure que l’escalade (verbale et financière) du programme EINSTEIN soit à replacer dans le contexte d’une rivalité entre Department of Homeland Security et National Security Agency (NSA) pour une position éminente dans le champ de la cybersécurité. Au dernières nouvelles, le Sénat américain serait opposé à ce programme.

Nos auteurs se donnent ensuite la peine (vertueuse) de proposer quelques mesures vraiment utiles et réalistes qu’il serait judicieux de mettre en place pour améliorer réellement la sécurité des infrastructures critiques face aux dangers du cyberespace.

Améliorer la sécurité des télécommunications gouvernementales

Au bon vieux temps du téléphone pré-informatique et du monopole naturel, le gouvernement pouvait faire raisonnablement confiance à AT&T pour acheminer ses communications : la sécurité physique était entre les mains d’un opérateur unique, prospère et tenu par des obligations de service public. L’interception des communications sans violation de la sécurité physique était très difficile. La signalisation hors-bande (c’est-à-dire la séparation entre les signaux d’établissement de la communication et la communication elle-même) rendait très difficile l’interception des communications et la prise de contrôle du réseau.

Aujourd’hui toutes ces assertions sont inversées. Une pléthore d’opérateurs sous-capitalisés et aux marges trop étroites vont au moins cher pour leurs infrastructures physiques. Le chiffrement pourrait améliorer la confidentialité des transmissions mais il n’est pas d’un usage général. La présence des informations de gestion du protocole de communication et des données dans les mêmes paquets IP facilite leur manipulation par des malveillants.

Appliquer aux fournisseurs d’accès à l’Internet de l’administration une combinaison d’exigences réglementaires raisonnables et de certifications de bonne ingénierie devrait améliorer la sécurité des infrastructures critiques au moins autant que les aspects irréalistes du programme EINSTEIN 3, concluent nos auteurs.