Avec plus de 20 ans d’expérience, Malike a passé la majeure partie de ma carrière entre la France, la Belgique, le Luxembourg et surtout le Qatar, développant son expérience d’infosec dans le secteur de la finance et la régulation. Il a rejoint le Qatar en 2008 pour partager et «travailler dans une région différente et difficile». C’est à 6 ans qu’il commence à faire ses premiers codes sur un ZX81 de Sinclair. Il n’en sortira plus, même si dit-il «cette période a été très riche pour moi, entre les 8 et 16 bits ». Nous l’avons rencontré au FIC 2018 et nous avons voulu en savoir un peu plus sur ce qui se fait dans le domaine de la sécurité informatique en particulier les IoT.
IT Mag: C’est quoi pour vous la sécurité informatique et comment voyez-vous cela, aujourd’hui et demain.
Malike Bouaoud: La sécurité informatique devient paresseuse. C’est normal. Aujourd’hui, nous avons une masse de données énorme qui complique encore plus la sécurité informatique. Juste pour illustrer, en termes d’étude et d’analyse que l’on doit faire. Nous devons accompagner les entreprises. On doit leur poser cette question «est-ce que vous connaissez ce qui se passe sur vos tuyaux». A chaque fois, on nous répond « Oui. Oui » et on se rencontre que non. La connaissance n’est pas exhaustive. Savoir ce que tu as, ce qui passe est important de manière régulière mensuelle ou trimestrielle. Voilà la méthode que j’utilise pour dresser un état des lieux de la sécurité informatique dans une entreprise ou une organisation. En plus de cela, je crée des profils type qui sont analysés par des outils que j’ai développés, car je ne les ai jamais trouvés sur le marché. En effet, personne ne fait attention à des indicateurs de recherche ou à des indicateurs de risque ou ensemble d’indicateurs de risque. Corrélés ensemble, ils donnent un ensemble de comportements par exemple pour le sabotage, pour voir un état qui va attaquer un état, des activistes ou un autre comportement. Il est évident que les indicateurs de risque sont dynamiques et génériques, mais ils sont intimement liés à un comportement de risque. Cette même méthode peut être utilisée pour l’interne comme les comportements frauduleux internes ou autres menaces internes.
Une fois que l’on parle de comportement alors là on peut faire de l’analyse de comportement et affiner l’approche pour faire ressortir à travers l’ensemble des évènements un comportement particulier en adressant l’ensemble des couches.
Cette méthode est intéressante lorsque l’on fait un audit d’une société. L’approche générale est d’aller directement sur le Système d’information et souvent l’erreur vient de là parce qu’on raisonne par surface d’attaque. Les contrôles sont là, mais on ne contrôle pas les accès par exemple. On doit avoir une granulométrie plus fine que l’on doit intégrer au système d’information. Si on met un zoom, on verra que le système communique avec des interfaces qui peuvent être vulnérables et donc accroitre la surface d’attaque.
Dans les banques, il y a une expression KYC qui veut dire Know your company, en 2010 j’ai inventé le KYO, Know your organisation que j’ai appelé KYO before KYC parce que nous avons a besoin de plus de politique sécuritaire forte, car aujourd’hui tout est interconnecté.
Assurez-vous de connaitre votre entreprise et qu’il y a ai une bonne collaboration des IT avec la sécurité et l’état de l’infra et la connexion entre la couche IT et Infra. Avec cela, j’ai pu déterminer les poids de risque sur l’ensemble de mon entreprise. On suit alors les données, les éléments périphériques et tout l’écosystème de l’entreprise va suivre petit à petit.
Mais c’est un travail de fourmis. Avec le développement phénoménal des IOT, la sécurité informatique aura beaucoup à faire. Qu’en pensez-vous et quelle est votre approche.
Il est extrêmement important de comprendre que l’explosion des IoT va faire accroitre les risques liés à l’hyperconnectivité. Tous ses éléments vont être exposé à des attaques en utilisant, peut être les smartphones de la ville pour augmenter des attaques et faire tomber une infra. J’ai déjà communiqué là-dessus et donné une approche en 2015 à la conférence de Las Vegas . Je me suis dit qu’il faut faire table rase sur l’iot 1.0 et passer directement à l’IoT 2.0 où la sécurité est dans le design. C’est la correction des erreurs du passé. En gros, c’est l’intégration des principes de base dans les composants au moment où on génère la donnée. En fait, c’est un petit chipset, il génère des données on se retrouve dans le cœur des processeurs. On doit hardcodé des instructions qui nous permettent d’intégrer les principes de sécurité. il y a une partie active et une partie de détection qui va avec, mais qui doit être monitoré. Un élément volatil, dynamique et mis à jour, mais isolé du reste. On ouvre le champ et j’aurais un système qui permet de recouper les maj et les injecter.
Mais ici, il y a une problématique. On est alors une dans logique de patch management qui va ouvrir une porte d’entrée
Non pas du tout. On utilise la connectivité du capteur qui va recevoir via un système centralise de l’éco système IoT les MAJ nécessaires. On ne parle pas de programme entier, mais de petites instructions. De plus, chaque capteur IoT est marqué et reconnu, et reconnait les autres. Il faut qu’il reste assez léger pour éviter une surconsommation et en même temps s’ouvrir des opportunités pour la sécurité. Je peux parler d’encapsulation, mais réellement on intègre de l’obfuscation avec une certaine ligne. Là on touche un composant physique du processeur assez intéressant à coder avec des processeurs basse consommation et un nombre faible d’instruction avec lequel on peut faire les opérations. On peut, alors, facilement intégré des facilités sécurité.
Mais cela va augmenter les coûts du processeur et donc de l’IoT
Non pas du tout. Cela ne va pas augmenter le prix du processeur ni de l’IoT. Le problème n’est pas encore résolu. Il va falloir résoudre le problème de la donnée. Je peux utiliser des algorithmes et évoluer. Je peux les intégrer à l’intérieur du processeur. Il ne faut pas oublier que la puissance des processeurs augmente et la taille et le cout diminue. Et là, on se doit d’intégrer un minimum de base pour la sécurité. Cela ne va utiliser que 2% du temps de calcul d’un processeur. Il faut revenir aux bases, à l’instruction-machine et aux couches les plus basses de l’ISO.
Vous voyez la sécurité informatique d’une autre manière. A l’intérieur de l’instruction et les couches les plus basses, mais même à ce niveau-là on peut générer un code malicieux qu’on enverrait sur ce dispositif
C’est aléatoire et très difficile de pouvoir jouer avec les 3 principes de l’état de la donnée. Je m’explique. J’ai parlé de processeur microcodé et là j’entre dans la data. Je pars du principe simple : l’état de la donnée. Je parle des 3 états de la donnée : générer, transmise ou traité qui peuvent donner lieu à ce que j’appelle les trois lois de la donnée. Un peu comme les Trois Lois de la robotique d’Asimov qui ont largement inspiré les chartes éthiques de la robotique du XXIe siècle. Pour cela, il faut qu’il y ait un consensus global, mondial avec par exemple l’UIT comme leader pour que les fondeurs de processeur soient en conformité avec les trois lois de la donnée. J’ai parlé des états de la donnée et sur ces 3 états il y a des fonctionnalités auxquelles il faut ajouter de l’encapsulation ou de l’obfuscation. Chaque byte, qui est traité, est handlé et permet d’appliquer des couches à de la sécurité. C’est une intégration de fonction très légère, mais on peut l’assimiler à une signature de hash ou de check. Je viens d’un monde différent. Je viens du code, de l’assembleur et je vois ce qui se fait dans les données. Les fonctions lourdes consomment du CPU time et il ne fait pas oublier les IOT doivent être low cost. Cette façon de voir qui met la sécurité au cœur du processeur va impacter les technos et ne sera pas onéreuse à fabriquer. De plus, l’obfuscation de la data ne prend pas beaucoup de temps machine, quelques cycles. Pratiquement, on fait une dérivation d’architecture. Au moment du process, A se transforme en A prime ou A tierce et ensuite aller vers B. Le tout se faisant au cœur du processeur. La donnée est alors devenue un block fermé.
Et si la donnée a été corrompue, cela se verra tout de suite.
Oui mais soyons simples et pertinents. On pense qu’il faut faire toujours compliquer. La complexité crée les chalenges. En descendant dans les états de la donnée à des niveaux bas, on sécurise mieux.
Vous ajoutez une autre dimension à la réalité conceptuelle de la donnée. Cette nouvelle dimension de pertinence et de richesse va permettre de détecter des attaques et permettre d’être plus résilient plus réactif.
Actuellement, la solution couche sur couche ne peut plus donner, car cela va complexifier la sécurité informatique tout en ouvrant des portes à des attaques Ces histoires de vulnérabilité deviennent de plus en plus complexes et plus on ajoute des couches, plus on noie le poisson. Avec le développement exponentiel des IoT, cela va engendrer de nombreux problèmes, car on va toucher à des domaines sensibles. Avec des processeurs qui prennent en charge les trois principes de la donnée, les data seront mieux sécurisées et j’aurais en plus un indicateur qui va me permettre d’avoir un état de risque, ce qui permet de lancer des warning sur la base d’un état. Un exemple simple, un capteur qui reçoit une tentative d’émission ou de réception et qui n’est pas compatible va automatiquement générer un warning. il n’y a personne qui a pensé à ce modèle-là. Si j’ai des indicateurs à l’avance, les couches les plus basses vont être réactives et j’ai une longueur d’avance sans utiliser de l’intelligence artificielle. Je scanne juste les états des données et en back office, j’ai des logiciels et des algorithmes assez costaux pour déterminer les profils, dont j’ai parlé tout à l’heure. Mais pour l’heure, il faut que tout le monde soit conscient qu’il faut aller vers les trois lois de la donnée et qu’Intel, Nvidea et d’autres intègrent ses principes dans leur design.
Un dernier mot
Là, je vous ai donné ce que je suis en train de murir comme réflexion. Les IoT risquent d’être un très gros problème pour la sécurité informatique et la sécurité tout court. En effet, aujourd’hui, l’industrie est en train de muter en s’appuyant sur les IoT. Et c’est la même problématique dans les télécoms. Tout se standardise et tout peut faire l’objet d’une attaque. Imaginons une usine qui produit du pétrole. Une interruption d’un jour, par une attaque, c’est beaucoup financièrement, mais à la limite ce n’est que de l’argent. Prenons un autre exemple, dans une usine de fertilisant, un faux mélange et c’est une explosion assurée. La sécurité informatique est un ensemble qu’il ne faut pas négliger et qu’il va falloir règlementer avec des lois fortes.