mardi 19 juin 2012

Classification des impacts des failles de sécurité

Catégoriser l'impact des failles de sécurité permet de les classifier rapidement afin de prendre des contre mesures. Cette catégorisation n'est pas évidente de premier abord tant il existe d'attaques et de failles différentes. De plus, l'impact d'une faille de sécurité dépend d'un grand nombre de paramètres exogènes. La classification des failles de sécurité peut donc aller du plus simple: "pwn" ou "pas pwn" au plus complexe ou chaque faille de sécurité est différente: depuis l'augmentation de ressources consommées à la lecture de deux octets de mémoire noyau ou de la diminution de l'espace de recherche pour les bruteforce jusqu'à l'impact financier chiffré ou la baisse d'une image de marque.

Pour extraire des impacts pragmatiques utilisables et réalistes, on peut partir des fondements de la sécurité informatique. Une faille de sécurité remettant en jeu un de ces fondements, on peut en tirer un impact. Idéalement, chaque faille de sécurité devrait n'appartenir qu'à un seul impact. Wikipedia donne une liste intéressante d'enjeux de la sécurité des SI.

Nous tirons donc les impacts suivants après un petit travail de classification d'un nombre conséquent de failles de sécurité:
  • Déni de service : Le service informatique n'est plus rendu. Le déni de service peut revêtir également un grand nombre de méthodes (DOS, DDOS, consommation de CPU par collision de hachés, remplissage de disque, etc..).
  • Falsification d'identité : Dans cette catégorie va se retrouver deux types de faille de sécurité. Tout d'abord les vols d'identités (vol de cookie, vol de credential, bruteforce...) puis les élévations de privilèges.
  • Compromission de données : On va retrouver ici un certain nombre d'altération de données. Tout d'abord la diffusion non autorisée de données, leur modification ou leur destruction. Ensuite, nous allons classer ici toute la partie crypto avec le cassage de code.
  • Exécution arbitraire de code : cette définition se passe presque d'explication. Peu importe le moyen utilisé (overflow, RFI, SQL injection, exécution locale ou remote...) l'exécution arbitraire de code par un attaquant sur un système à protéger est un impact à considérer.
  • Traçabilité / preuve : l'informatique est censée assurer une certaine traçabilité des traitements, ou de signature (et non répudiation). Nous allons retrouver ici les modifications de journaux ou les attaques sur les signature électronique (MD5 par exemple).
  • Équipements de sécurité : Nous allons classer dans cette famille d'impact les contournements des firewalls, des antivirus et des sondes (DPI/IDS/IPS).
Nous obtenons donc 6 impacts unitaires qui semblent recouvrir l'ensemble du spectre des failles de sécurité. 6 est un bon chiffre, ni trop pour éviter d'avoir des inventaires à la Prévert, ni trop peu pour être trop vague. Cette liste est bien évidemment discutable (si vous avez des remarques, je les accepte avec plaisir), mais avec ces 6 impacts je ne trouve pas de failles qui ne rentre pas dans cette définition.