Back in 2001, there was an incident on September 11 that lead many people to go “OMG! We are doomed! We must increase security! Do whatever it takes!” And the NSA was happy to oblige. On 7/7/05 an attack in London added to the frenzy. I think it is fair to say that these security agencies felt they were given a mandate to “do anything as long as it stops the attacks,” and thus was the overwhelming attack on privacy moved up a whole level. To be clear, security agencies are always pushing the limits, it is in their DNA. And politicians have learned that you never lose votes by insisting on stronger security and appearing “tough.” But the reality is that security is never 100%, and the higher the level of security, the greater the costs in terms of our privacy and liberty. And it is also the case that total insistence on liberty and privacy would cause your security to go down as well, so you really should not adopt any simple-minded approach to this problem. In general, as you add layers of security, each added layer gives you less benefit. Some simple security steps can give you a lot, but as you add more and more, the added benefit drops, and we call this the Law of Diminishing Returns. By the same token, each added measure extracts an ever-increasing cost in terms of the loss of liberty and privacy. Conceptually, you could draw a couple of curves, one rising (the costs) and the other falling (the benefits), and look for where the curves cross to determine the optimum level of security that balances the costs and benefits, but in practice it is not that simple. Measuring these costs and benefits is tricky, and there is no simple equation for either curve. Nonetheless, the balance does need to be struck.
En 2001, il y a eu un événement - le 11 septembre - qui a conduit beaucoup de gens à dire « Seigneur Dieu ! Nous sommes fichus ! Nous devons améliorer la sécurité ! Faites le nécessaire ! ». Et la NSA était contente de rendre ce service. Le 7 juillet 2005, une attaque dans Londres a augmenté encore cette frénésie. Je pense qu'il est honnête de dire que ces agences de sécurité sentaient qu'elles avait été mandatées pour « tout faire pour que cessent ces attaques » et de là, l'extraordinaire attaque contre la vie privée fut rehaussée un cran. Pour parler clairement, les agences de sécurité repoussent en permanence les limites, c'est dans leur ADN. Et les politiciens ont compris qu'on ne perd jamais de votes en insistant sur une plus grande sécurité et en paraissant « dur ».
Mais la réalité est qu'il n'y a pas de sécurité à 100 %, et plus le niveau de sécurité est élevé, plus les coûts sont grands concernant notre vie privée et notre liberté. Et il est aussi vrai qu'une volonté totale de respecter la vie privée et la liberté abaisse le niveau de sécurité ; aussi, vous ne pouvez pas adopter un raisonnement simpliste avec ce problème. En général, au fur et à mesure que vous ajoutez des niveaux de sécurité, chaque couche ajoutée vous procure moins de bénéfices. Des étapes simples de sécurisation peuvent vous apporter beaucoup, mais plus vous en rajoutez, plus le gain se réduit ; nous appelons cela la loi des rendements décroissants. De la même manière, le coût de chaque mesure ajoutée est toujours croissant en terme de perte de liberté et de vie privée. En théorie, vous pouvez tracer deux courbes, l'une montante (les coûts), l'autre descendante (les bénéfices) et voir où les courbes se croisent pour déterminer le niveau optimal de sécurité qui équilibre les coûts et les avantages ; mais, en pratique, ce n'est pas si simple. La mesure des coûts et des bénéfices est délicate, et il n'y a pas d'équation simple pour chaque courbe. Cependant, l'équilibre doit être trouvé.
In the wake of the 9/11 attacks, Bruce Schneier published a book called Beyond Fear: Thinking Sensibly About Security in an Uncertain World (2003). In this book he shows that hysteria is not a good approach to security, and that you need to ask yourself some questions to see what the cost vs. benefit calculation looks like for you. I am going to draw on his model to talk about security as we are discussing it in this series. There is an old joke about what constitutes a secure computer. The answer is that it has to be locked in a vault, with no network connection, and no power connection, and even then you need to worry about who can access the vault. It is a joke, of course, because no one would ever do this. We use computers and the Internet because of the benefits they give us, and having a computer in a vault is just a waste of money. We accept a certain degree of risk because that is the only way to get the benefits we want.
A la suite des attaques du 11 septembre, Bruce Schneier a publié un livre appelé Beyond Fear: Thinking Sensibly About Security in an Uncertain World (2003) (Ndt : qui pourrait se traduire par Au-delà de la peur : réfléchir judicieusement à la sécurité dans un monde incertain). Dans ce livre, il montre que l'hystérie n'est pas une bonne approche de la sécurité et que vous devez vous poser quelques questions pour vous faire une idée de ce que le résultat du calcul des coûts face aux bénéfices signifie pour vous. Je vais m'inspirer de ce modèle pour parler de sécurité et vous le présenter dans cette série.
Il y a une vieille blague sur ce qu'est un ordinateur sûr. La réponse est qu'il doit être enfermé dans un coffre, sans connexion à Internet, sans alimentation, et, même ainsi, vous devez vous inquiéter de qui accède au coffre. C'est une blague, bien sûr, parce que personne ne fera jamais cela. Nous utilisons les ordinateurs et Internet pour les avantages qu'ils nous procurent, et avoir un ordinateur dans un coffre est juste une perte d'argent. Nous acceptons un certain degré de risque parce que c'est la seule façon d'obtenir les bénéfices voulus.
Five-Step Process For any security measure you are contemplating, you need to have a clear-eyed, rational look at the costs and benefits, and Schneier offers a Five-Step Process to accomplish this, This is a series of questions that you need to ask in order to figure out if this particular measure makes any sense: • What assets are you trying to protect? This is what defines the initial problem. Any proposed countermeasure needs to specifically protect these assets. You need to understand why these assets are valuable, how they work, and what are attackers going after and why. • What are the risks against these assets? To do this you need to analyze who threatens the assets, what their goals are, and how they might try to attack your assets to achieve those goals. You need to be on the lookout for how changes in technology might affect this analysis. • How well does the security solution mitigate the risks? To answer this, you need to understand both how the countermeasure will protect the asset when it works properly, but also take into account what happens when it fails. No security measure is 100% foolproof, and every one will fail at some point in some circumstances. A fragile system fails badly, a resilient system handles failure well. A security measure that is slightly less effective under ideal conditions, but which handles failure much better, can be the optimum choice. And a measure that guards against one risk may increase vulnerability somewhere else. And you really need to watch out for False Positive vs. False Negative trade-offs. It is a truism that any set of measures designed to reduce the number of false negatives will increase the number of false positives, and vice-versa. • What other risks does the security solution cause? Security countermeasures always interact with each other, and the rule is that all security countermeasures cause additional security risks. • What trade-offs does the security solution require? Every security countermeasure affects everything else in the system. It affects the functionality of the assets being protected, it affects all related or connected systems. And they all have a cost, frequently (but not always) financial, but also in terms of usability, convenience, and freedom. And going through this process once is not the end. You need to re-evaluate your choices as systems evolve, as technology changes, etc.
Un processus en cinq étapes
Pour toute mesure de sécurité que vous envisagez, vous avez besoin d'avoir une vision claire et rationnelle des coûts et des gains, et Schneier offre un processus en cinq étapes pour le réaliser. C'est une série de questions que vous devez vous poser pour découvrir si cette mesure particulière a un intérêt : • Quels biens essayez-vous de protéger ? C'est ce qui définit le problème initial. Toute contre-mesure proposée doit nécessairement protéger ces biens. Vous devez comprendre pourquoi ces biens ont de la valeur, comment ils fonctionnent et ce qui attirerait des attaquants et pourquoi. • Quels sont les risques liés à ces biens ? Pour cela, vous avez besoin d'analyser qui menace ces biens, dans quels buts, et comment ils pourraient essayer d'attaquer vos biens pour arriver à leurs fins. Vous devez rester à l’affût des changements technologiques qui pourraient affecter cette analyse. • Jusqu'à quel point la solution de sécurisation réduit-elle les risques ? Pour y répondre, vous devez comprendre à la fois comment la contre-mesure protégera le bien si elle fonctionne correctement, mais aussi, prendre en compte ce qui arrive quand elle est en défaut. Aucune mesure de sécurité n'est garantie à 100 % et chacune sera en faute à un moment dans certaines circonstances. Un système fragile s'écroule lors du défaut, un système résilient supporte bien le défaut. Une mesure de sécurité qui est un peu moins efficace dans les conditions idéales, mais qui supporte mieux une faille, peut être le choix optimal. Et une mesure qui protège contre un risque donné peut augmenter la vulnérabilité ailleurs. Et vous devez vraiment veiller aux arbitrages des faux positifs ou faux négatifs. C'est une évidence que tout ensemble de mesures conçu pour réduire le nombre de faux négatifs va entraîner une augmentation du nombre de faux positifs, et vice-versa. • Quels autres risques sont induits par la solution ? Les contre-mesures de sécurité interagissent toujours les unes avec les autres et la règle est que toutes les contre-mesures induisent des risques additionnels pour la sécurité. • De quels arbitrages a besoin la solution de sécurisation ? Chaque contre-mesure de sécurité affecte le reste du système. Elle influence la fonctionnalité des biens déjà protégés, ainsi que tous les systèmes connexes ou connectés. Et elles ont toutes un coût, financier en général (mais pas toujours), mais aussi en termes d'opérabilité, de confort et de liberté.
Il ne suffit pas de parcourir ce processus une fois. Vous devez réévaluer vos choix quand les systèmes évoluent, parce que la technologie change…
Example: Passwords I have a cartoon on the wall of my cubicle that shows an alert box that says “Password must contain an uppercase letter, a punctuation mark, a 3-digit prime number, and a Sanskrit hieroglyph”. We’ve all encountered this, and it does get frustrating. This is a humorous take on something that is an accepted best practice. I recall a story about a fellow who worked at a company that insisted he regularly change his password, and would also remember the 8 previous passwords and not let him use any of them again. But he liked the one he had, so he spent a few minutes changing his password 9 times in a row, the last time being back to his favored password. Was he a threat to security, or was the corporate policy misguided? Let’s try Bruce’s model and see where we get. • What assets is the company trying to protect? I think this has several possible answers. The company may want to prevent unauthorized access to corporate data on its network. Or the company wants to prevent unauthorized use of its resources, possibly with legal implications. And the company may be concerned to prevent damage to its network. All of these are good reasons to try and control who has access to this asset, and to protect it. But knowing which of these is being targeted may matter when we get to trade-offs and effectiveness of the proposed countermeasures. For now, let’s assume the primary interest is in preventing unauthorized access to the data, such as credit card numbers on an e-commerce site.
Exemple : les mots de passe
J'ai une bande dessinée sur le mur de mon bureau qui montre un message d'alarme qui dit : « Le mot de passe doit contenir un lettre majuscule, un signe de ponctuation, un nombre premier à 3 chiffres et un hiéroglyphe sanskrit. » Nous avons tous rencontré ceci et c'est frustrant. C'est un trait d'humour sur quelque chose qui est accepté comme une bonne pratique. Je me souviens d'une histoire à propos d'un gars qui travaillait dans une société qui insistait sur le changement régulier de son mot de passe, qui se souvenait des huit derniers utilisés et qui ne le laissait réutiliser aucun d'eux. Mais il aimait celui qu'il avait ; aussi, il passait quelques minutes à changer son mot de passe 9 fois de suite, revenant pour le dernier à son mot de passe favori. Était-il une menace pour la sécurité, ou est-ce que la politique de l'entreprise était erronée ? Essayons d'appliquer le modèle de Bruce et voyons ce que nous obtenons. • Quels biens la société essaie-t-elle de protéger ? Je pense qu'il y a plusieurs réponses possibles. La société peut vouloir prévenir tout accès non autorisé aux données de l'entreprise sur son réseau. Ou la société veut se prémunir contre l'utilisation non autorisée de ses ressources, probablement avec des conséquences judiciaires. Et la société peut vouloir empêcher toute détérioration de son réseau. Ce sont toutes de bonnes raisons d'essayer de contrôler qui accède à ce bien et de le protéger. Mais connaître laquelle est visée peut avoir de l'importance quand vous comprenez les arbitrages et l'efficacité des contre-mesures proposées. Pour le moment, disons que l'intérêt premier est de prévenir tout accès non autorisé aux données, tels que les numéros de cartes de crédit sur un site de e-commerce.
• What are the risks against these assets? Well if we are talking about credit card numbers, the risk is that criminals could get their hands on these numbers. From the company’s standpoint, though, the risk is what can happen to them if this occurs. Will this cause them to assume financial penalties? Will the CEO be hauled in front of legislative committees? Will their insurance premiums rise as a result? This is the sort of thing companies really care about. And when you understand this, you begin to see why companies all adopt the same policies. When people talk about “Best Practices”, you should not assume that anyone has actually determined in a rational manner what the best practices should be. It only means that they are “protected” in some sense when the things go wrong. After all, they followed the industry “best practices”. The biggest failure of security is when companies or organizations just apply a standard set of rules instead of creating a process of security. I see this criticized constantly in my daily newsletter from the SANS Institute. • How well does the security solution mitigate the risks? This becomes a question of whether forcing people to change their passwords frequently is a significantly effective measure in preventing unauthorized access to computer networks. And here is where things really start to break down. It is very difficult to come up with many examples of cases where a password in use for a long time leads to unauthorized access. That is simply not how these things work. We know that the majority of these cases derive from one of two problems: social engineering to get people to give up their password, and malware that people manage to get on their computer one way or another. I suppose you could make an argument that forcing people to frequently change passwords might in rare cases actually do some good, but there is no way to say that this is in general an effective countermeasure against unauthorized access.
• Quels sont les risques pour ces biens ? Bon, si nous parlons des numéros de cartes de crédit, le risque serait que des criminels puissent s'accaparer ces numéros. Du point de vue d'une entreprise, cependant, le risque est plus sur ce qui pourrait se passer si ça arrivait. Est-ce que ça entraînera des sanctions financières ? Est-ce que le patron sera traîné devant un comité législatif ? Est-ce que la conséquence sera la hausse des primes d'assurance ? Voilà ce qui préoccupe réellement les entreprises. Et si vous comprenez ceci, vous commencez à voir pourquoi les entreprises adopte toutes les mêmes politiques. Quand les gens parlent des « bonnes pratiques », vous ne devez pas en déduire que chacun a vraiment déterminé de manière rationnelle ce que ces bonnes pratiques devraient être. Cela signifie simplement qu'elles sont, d'une certaine manière, « protégées » si les choses tournent mal. Après tout, elles suivent les « bonnes pratiques » de l'industrie. La plus grande faille de sécurité apparaît quand les sociétés ou les organisations appliquent simplement un ensemble normalisé de règles plutôt que de créer un processus de sécurité. Je vois cela critiqué en permanence dans mon journal quotidien de l'institut SANS (Ndt : SysAdmin, Audit, Network, Security - Institut spécialisé dans la sécurité informatique). • Jusqu'à quel point la solution de sécurisation réduit-elle les risques ? Ce qui revient à se demander si obliger les gens à changer leurs mots de passe fréquemment est une mesure suffisamment efficace pour prévenir des accès non autorisés aux réseaux informatiques. Et c'est ici que les choses commencent réellement à s'écrouler. Il est très difficile d'apporter de nombreux exemples de cas où un mot de passe utilisé sur de longues périodes entraîne un accès non autorisé. Ça ne marche tout simplement pas comme ça. Nous savons que la majorité des cas découle d'un des deux problèmes suivants : l'ingénierie sociale qui pousse les gens à dévoiler leur mot de passe et les maliciels que les gens font entrer dans leurs ordinateurs d'une façon ou d'une autre. Je suppose que vous pourriez arguer que l'obligation pour les gens de changer fréquemment de mot de passe pourrait dans quelques rares cas apporter une amélioration, mais il n'est pas possible de dire que c'est de manière générale une parade efficace contre les accès non autorisés.
• What other risks does the security solution cause? There are several possible risks that come out of this. First, since all security measures require a variety of resources (and people’s time and attention is one of those resources), emphasizing one security measure may take resources away from more effective measures that don’t get sufficient attention. But there are also risks from how people act in response to this policy. In the ideal world of the security department, each person with access would choose a long, complicated password each time, chosen for maximum entropy, and then memorized but never written down. Sadly, for the security department, they have to deal with actual human beings, who do not do any of these things. Most people at the very least consider this an annoyance. Some may actively subvert the system, like the fellow in our story who changed his password 9 times in a row to get back to the one he liked. But even without this type of subversion, we know what people will do. If you let them, they will choose something that is easy to remember as their first attempt, and that means they will most likely choose a password that can easily be cracked in a dictionary attack. If you instead insist that each password contain letters, numbers, upper and lower case, a Sanskrit hieroglyph, and two squirrel noises, they will write it down, probably on a yellow sticky note attached to their monitor. If the person in question is a top level executive, it gets even worse, because they won’t put up with the BS ordinary worker bees have to tolerate. • What trade-offs does the security solution require? This policy causes a major impact on usability and convenience, and all of this for a policy that we saw above actually accomplishes very little. In the majority of organizations, the IT department is viewed with a certain amount of hostility, and this is part of it. In addition, anyone in an IT Help Desk can tell you that they get a lot of calls from people who cannot login because they forgot their password, which is a natural consequence of forcing people to keep changing it.
• Quels autres risques seront induits par la solution de sécurisation ? Il y a plusieurs risques potentiels qui peuvent en découler. D'abord, parce que toutes les mesures de sécurité requièrent des ressources variées (l'une d'elles étant le temps et la vigilance des gens), mettre l'accent sur une mesure de sécurité précise peut éloigner des ressources de mesures plus efficaces qui ne recevront pas assez d'attention. Mais il y a aussi des risques dans la réaction des gens à cette politique. Dans le monde idéal de la direction de la sécurité, chaque personne ayant un accès choisirait à chaque fois un mot de passe long et compliqué, choisi pour son incertitude maximum, et, ensuite, mémorisé et jamais écrit. Malheureusement pour la direction de la sécurité, elle doit composer avec des êtres humains, qui ne font aucune de ces choses. La plupart des gens considèrent cela, au strict minimum, comme une gêne. Certains peuvent activement pervertir le système, comme le gars de notre histoire qui changeait son mot de passe 9 fois de suite pour revenir à celui qu'il aimait. Mais même sans ce type de perversion, nous savons ce que feront les gens. Si vous les laissez faire, ils choisiront quelque chose de facile à retenir du premier coup, et cela signifie qu'ils vont choisir de préférence un mot de passe qui sera facilement découvert dans une attaque par dictionnaire. Si, à la place, vous insistez pour que chaque mot de passe contienne des lettres, majuscules et minuscules, des nombres, un hiéroglyphe sanskrit et deux cris d'écureuil, ils vont l'écrire, probablement sur une note auto-collante jaune fixée sur leur écran. Si la personne en question est un cadre haut placé, c'est encore pire parce qu'ils ne toléreront pas ce que nous, les abeilles travailleuses ordinaires, ont à supporter. • Quels arbitrages sont nécessaires à la solution de sécurisation ? Cette politique a un impact majeur sur l'utilisation et le confort, et tout cela pour une politique qui, nous l'avons vu plus haut, n'apporte que peu de choses. Dans la plupart des organisations, la direction informatique est vue avec une certaine hostilité, en partie à cause de cela. En plus, n'importe qui du support informatique peut vous dire qu'il reçoit de nombreux coups de fil de gens qui ne peuvent pas se connecter parce qu'ils ont oublié leur mot de passe, qui est une conséquence naturelle de l'obligation de le changer régulièrement.
Bottom Line So what does all of this mean in the final analysis? I think it means that you need to carefully consider which measures are actually worth taking. And this is, at least in part, a cost vs. benefit analysis. For instance, as I write this, the Heartbleed vulnerability is in the news a good deal, and I got to hear Bruce Schneier discuss how people should react. And he did not say “OMG! Change all of your passwords right now!” He said you should assess the case. If it is your password to login to your bank, that is probably something you want to change. But if it was some social network you access once every two weeks, you needn’t bother. And that seems reasonable. And as another example, although I have discussed how to encrypt e-mails and digitally sign them, that does not mean I open up GPG every time I send an e-mail. It is something of a pain in the posterior to do, and I use it judiciously. I don’t see the point in digitally signing every email when a lot of it is just stupid stuff anyway.
Bilan
Ainsi, qu'est-ce tout cela signifie finalement ? Je pense que cela veut dire que vous devez étudier avec précaution ce que chaque mesure améliorera réellement. Et c'est, au moins en partie, une analyse de coût et de bénéfice. Par exemple, comme je l'ai écrit, la vulnérabilité Heartbleed est paru dans les média pas mal de fois et j'ai entendu Bruce Schneier expliquer comment les gens devraient réagir. Et il n'a pas dit « Oh ! Mon Dieu ! Changez tous les mots de passe tout de suite ! ». Il a dit que vous devriez évaluer le cas. Si c'est votre mot de passe pour vous connecter à la banque, c'est probable que vous voudrez le changer. Mais, si c'est pour accéder une fois toutes les deux semaines à votre réseau social, ne vous inquiétez pas. Et ça me parait raisonnable.
Et, comme autre exemple, bien que j'aie présenté comment crypter les mails et les signer numériquement, ça ne signifie pas que j'ouvre GPG chaque fois que j'envoie un mail. C'est pénible à faire et je l'utilise avec circonspection. Je ne vois pas l'intérêt de signer numériquement chaque mail quand, de toutes les façons, la plupart d'entre eux contiennent des informations débiles.
Three Final Rules We will finish this discussion with Bruce’s final three rules from Beyond Fear: • Risk Demystification: You need to take the time to understand what the actual risk is, and understand just how effective any proposed security countermeasure would be. There will always be a trade-off. If the risk is low, and countermeasure not particularly effective, why are you doing this? Saying “we must do everything in our power to prevent…” a risk that is unlikely, and where the countermeasures are not likely to work, is how you get to what Snowden revealed. • Secrecy Demystification: Secrecy is the enemy of security. Security can only happen when problems are discussed, not when discussions are forbidden. Secrecy will always break down at some point. This is the failure mode of Security by Obscurity. Most often, secrecy is used to cover up incompetence or malfeasance. • Agenda Demystification: People have agendas, and will often use security as an excuse for something that is not primarily a security measure. And emotions can lead people to make irrational trade-offs.
Trois règles pour conclure
Nous finirons cette présentation avec les trois règles de Bruce tirées de Beyond Fear : • Démystifier le risque : Vous devez prendre le temps de comprendre ce qu'est le risque réel, et bien comprendre l'efficacité de chaque contre-mesure proposée. Il y aura toujours un arbitrage. Si le risque est faible et la parade particulièrement inefficace, pourquoi le faire ? Dire « nous devons faire tout ce qui est en notre pouvoir pour prévenir… » un risque qui est invraisemblable, et là où les parades ne marcheront sans doute pas, c'est obtenir ce que Snowden a révélé. • Démystifier le secret : Le secret est l'ennemi de la sécurité. La sécurité n'arrive que quand les problèmes sont soupesés, pas quand les échanges sont interdits. Le secret sera percé à un moment ou un autre. C'est la faille du Secret dans l'Ombre. Le plus souvent, le secret est utilisé pour dissimuler l'incompétence ou la malfaisance. • Démystifier les priorités : Les gens ont des priorités, et ils utilisent souvent la sécurité comme une excuse pour quelque chose qui n'est pas de base une mesure de sécurité. Et les émotions conduisent les gens à des choix irrationnels.