Discussion :

[Michael Guilloux]

La NSA libère SIMP : un outil de sécurité open source
Pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces »

La National Security Agency (NSA) vient de publier un outil open source visant à sécuriser les réseaux des organisations. L’outil baptisé Systems Integrity Management Platform (SIMP) est, d’après l’agence d’espionnage des États-Unis, conçu pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces ».

L’outil est disponible dans le référentiel GitHub de la NSA, qui a été lancé ce printemps. D’après la description sur le site de partage de code source, SIMP est une technologie qui « vise à fournir une combinaison raisonnable de respect de la sécurité et de flexibilité opérationnelle. » La NSA considère l’outil comme un élément essentiel dans les approches de « défense en profondeur » de la cyber-sécurité, et estime qu’il permet de maintenir des systèmes en réseau conformes aux normes de sécurité en vigueur aux États-Unis.

À travers son outil, l’agence de sécurité veut aider les organisations gouvernementales et l’industrie dans leurs efforts pour mettre en place des technologies qui répondent aux exigences du département de sécurité US. SIMP leur permettra donc de ne pas réinventer la roue, affirme la NSA.

La libération de l’outil vient dans le cadre du Technology Transfer Program de la NSA. Le programme vise un transfert de technologie en prenant les codes développés par l’agence et en les rendant accessibles à la communauté du logiciel. « La communauté open source peut tirer profit du travail que la NSA a produit », et en retour, « le gouvernement peut bénéficier de l'expertise et de la perspective de cette communauté », explique Linda Burger, directrice du Programme.

Il est évident que même si l’agence de sécurité nationale des États-Unis semble être bien intentionnée sur ce coup, sa réputation en matière d’espionnage fera beaucoup de sceptiques quant à la sureté de son outil de sécurité des réseaux. Par contre, en le rendant open source, l’agence appelle la communauté des développeurs à contribuer. De manière implicite, c’est également un appel aux chercheurs en sécurité qui pourront analyser le code source en vue de détecter d’éventuelles failles qui pourraient exposer les organisations à des risques de sécurité.

Le logiciel est disponible pour les systèmes Red Hat Enterprise Linux 6.6 et 7.1, mais également pour les versions 6.6 et 7.1-1503-01 de CentOS. Il a été publié sous la version 2 de la licence Apache.

Sources : Communiqué de presse de la NSA, GitHub

Et vous ?

Qu’en pensez-vous ? L’outil de sécurité de la NSA pourra-t-il convaincre les organisations ?

[Vinorcola]

Ben voyons !

[redcurve]

Ben voyons !

Bah il n'y a rien de spéciale, la NSA travaille à la fois à casser des systèmes et à les sécuriser. C'est comme avec la fabrication de coffre fort, pour faire un bon coffre fort il faut savoir en ouvrir.

Dans le cas d'une agence comme la NSA, c'est code maker/code breaker. Leur travail est simplement excellent

[BufferBob]

Bah il n'y a rien de spéciale, la NSA travaille à la fois à casser des systèmes et à les sécuriser. C'est comme avec la fabrication de coffre fort, pour faire un bon coffre fort il faut savoir en ouvrir.

ben ouai, mais dans la continuité de la métaphore, si tu t'aperçois que ton fabricant de coffres s'amuse à visiter les maisons de ta rue à l'insu de leurs propriétaires, quand il te propose un coffre si joli soit-il, ça semble normal sinon d'avoir une défiance paranoïaque au moins de s'interroger, non pas sur les motivations mais bien sur la confiance qu'on peut avoir dans le fabricant, et par corolaire dans ledit coffre

[sevyc64]

La National Security Agency (NSA) vient de publier un outil [...] pour aider les organisations à « fortifier leurs réseaux contre les cyber-menaces ».

Quelles cyber-menaces, celles venant de la NSA justement ?

qu’il permet de maintenir des systèmes en réseau conformes aux normes de sécurité en vigueur aux Etats-Unis.

Ah non, pardon, c'est le contraire. Il permet de sécuriser une infrastructure mais en veillant bien de laisser ouvert les portes dérobées pour que la NSA justement puisse venir faire un tour discrètement, de temps en temps.
D'autant plus que, si l'outil est conçu intelligemment, il doit indiqué à la NSA qui l'utilise justement et donc qui est à potentiellement visiter.

Le logiciel est disponible pour les systèmes Red Hat Enterprise Linux 6.6 et 7.1, mais également pour les versions 6.6 et 7.1-1503-01 de CentOS. Il a été publié sous la version 2 de la licence Apache.

Ah, c'est tout ?
Et les autres, ils sont déjà sécurisé ?
USA, pays de Microsoft, et Windows ? Mais c'est vrai que Windows est déjà sécurisé et qu'il possède déjà toutes les portes dérobées qu'il faut


Franchement, quelle crédibilité a la NSA en donneur de leçon en matière de sécurité, bien qu'ils soient certainement parmi les meilleurs experts (pour pouvoir contourner, faut déjà connaitre de manière experte)

[redcurve]

Quelles cyber-menaces, celles venant de la NSA justement ?
Ah non, pardon, c'est le contraire. Il permet de sécuriser une infrastructure mais en veillant bien de laisser ouvert les portes dérobées pour que la NSA justement puisse venir faire un tour discrètement, de temps en temps.
D'autant plus que, si l'outil est conçu intelligemment, il doit indiqué à la NSA qui l'utilise justement et donc qui est à potentiellement visiter.

Ah, c'est tout ?
Et les autres, ils sont déjà sécurisé ?
USA, pays de Microsoft, et Windows ? Mais c'est vrai que Windows est déjà sécurisé et qu'il possède déjà toutes les portes dérobées qu'il faut


Franchement, quelle crédibilité a la NSA en donneur de leçon en matière de sécurité, bien qu'ils soient certainement parmi les meilleurs experts (pour pouvoir contourner, faut déjà connaitre de manière experte)

La NSA est aussi en charge de la sécurité électronique des USA, ils testent tout les os, soft etc. c'est leur boulot aussi de sécuriser des logiciels.

[Sodium]

La NSA essaye-t-elle de se racheter une conscience après la série de scandales qui éclatent aujourd'hui encore ?
Je me demande s'il s'agit de la bonne manière de faire la présence de backdoors en tout genre étant inévitable puisque l'agence ne peut décemment pas fournir à ses adversaires des outils pour se prémunir contre elle...

[Saverok]

La NSA essaye-t-elle de se racheter une conscience après la série de scandales qui éclatent aujourd'hui encore ?

Comme très bien dit par redcurve et par sazearte, entre autre, la NSA est un contributeur du libre depuis plusieurs années et cela fait parti de sa feuille de route depuis la création de l'agence.
Rester vigilent est une nécessité mais tomber dans des excès de méfiance, tout comme de naïveté, n'importent rien.

Le gros des scandales médiatiques sur la NSA sont passés et l'opinion publique est déjà sur autre chose.
Personnellement, je pense que la NSA n'en n'a que faire de se "racheter une image" d'autant plus que cette agence a les politiques dans sa poche...

[Zirak]

Rester vigilent est une nécessité mais tomber dans des excès de méfiance, tout comme de naïveté, n'importent rien.

Bien évidemment que cela n'apporte rien, cela-dit, je ne me verrais pas installer leur outil tant qu'il n'aura pas été vu et revu par différents intervenants extérieurs à la NSA qui pourront certifier qu'il n'y a rien de douteux qui traine dans le code.

Il ne faut pas tomber dans l'excès inverse non plus, et partir du fait que comme ils sont de gros contributeurs depuis longtemps, toutes leurs contributions sont exemptes de problèmes et/ou de backdoor ou autres, comme tu le dis, la vigilance est de mise.

[RyzenOC]

Sans vouloir faire l'avocat du diable, c'est pas la première fois que la NSA développe des (bon) logiciels de sécurité, il y'en a même un d'intégrer au noyaux Linux, elle a contribuer a SELinux (Security-Enhanced Linux), une fonctionnalité permettant d’améliorer la sécurité de linux. Ce travail a été mené dans un but bien précis : fournir aux gouvernements des garanties précises de sécurité, notamment en instaurant des groupes d’applications, chacun régis par des règles différentes. Les premiers résultats concrets ont été inclus en 2000 dans le noyau Linux (version 2.6.0) et d’autres contributeurs, à l’instar de Red Hat, ont rejoint le projet.
Le code publié a toujours été open source et a donc été révisé par de nombreux développeurs. La participation de la NSA est abordée sur le propre site officiel de l’agence de renseignement.

Techniquement, si c'est open source, on peut vérifier code.

La NSA fait partie des plus gros contributeurs a des projets open source, et ce depuis sa création.

[Beanux]

J'ai essayé d'aller voir els sources, et euh, c'ets le bordel. Le lien d ela news nous renvoie sur github, sous le compte "NationalSecurityAgency", qui ne contient que le projet "SIMP", qui lui, ne contient aucun code, mais qui nous renvoie sur simp.
Donc je suppose que c'est simp-core parmi les 5 pages de projets existants, qui est lui aussi vide, mais qui contient des instruction d'installation. De plus les projets adjacents, sont sans instructions aucune (pour ceux que j’ai pu consulter).

Ils ont donc bien sorti quelque chose, mais quel fouillis.

[MikeRowSoft]

[Matthieu Vergne]

Mouais, apparemment le projet est en cours d'ouverture si j'en crois le readme du projet (je dis pas libération vu qu'on libère des individus et non du code, un code libre étant un code assurant des libertés pour les individus, et non pour lui-même). Et ça semble assez découpé (les modules s'enchaînent et il y en a une liste de 5 pages pour l'instant). À voir quand on aura un ensemble complet, dire d'avoir une vue d'ensemble. J'ai pas regardé le code à proprement parler et je doute de le faire un jour, ce genre de code c'est pas mon truc.

[pierre-y]

Ca ressemble presque a une blague^^.

[Cyrano]

Je serais curieux de voir combien de temps ça va prendre pour détecter les backdoors soigneusement dissimulés par la NSA elle-même dans ce truc... Un organisme spécialisé dans l'hyper-espionnage qui propose un outil de sécurité, je sais pas pour vous, mais personnellement, je deviens un peu parano et je m'interroge comme si un fabriquant de cigarettes me proposait un outil pour me permettre d'arrêter de fumer, il y a un truc qui cloche

[Pierre GIRARD]

Venant de n'importe qui d'autre que la NSA, ça serait une bonne nouvelle. Mais après toutes les informations concernant leurs méthodes ... difficile de ne pas avoir des doutes sérieux.

[Matthieu Vergne]

Ben écoutez, ça tombe bien, le code est là, mettez votre nez dedans. C'est l'occasion de savoir si oui ou non il y a des backdoors. Et même mieux, de les retirer et de faire des pull request avec explications pour que d'autres puisse constater les faits et prendre en compte vos modifs. L'avantage de l'Open Source il est là : on n'a plus besoin de se poser la question. On met le nez dedans et on est fixé. Continuer à sortir des doutes, à ce niveau là, ça n'a pas grand intérêt. C'est comme critiquer un livre qu'on a sur le bureau mais qu'on n'a pas fait l'effort de lire.

[Pierre GIRARD]

Ben écoutez, ça tombe bien, le code est là, mettez votre nez dedans. C'est l'occasion de savoir si oui ou non il y a des backdoors...

Il n'est pas là le problème potentiel. Étant donné que la NSA connait parfaitement ce code, qui nous dis que parallèlement il n'a pas créé d'autres outils pour l'exploiter en toute discrétion. C'est comme les poisons, l'inventeur d'un nouveau poison invente en même temps l'antidote ... au cas où. Idem pour le serrurier génial qui invente à la fois la serrure inviolable et le passe-partout au cas où le propriétaire de la serrure perd la clé.

Comment faire une totale confiance à la NSA ? Et peut-on leur faire une confiance totale et aveugle ?

[sevyc64]

Comment faire une totale confiance à la NSA ?

Le débat est effectivement ouvert. Confiance pour quoi, assurer la sécurité des USA. C'est son boulot, elle y travaille et probablement relativement bien malgré quelques couacs comme celui de 2001 (qui serait d'ailleurs plu dû à la CIA que la NSA). Confience pour protéger la vie privée et les données personnelles, ce n'est pas son boulot, et au contraire, elle a besoin d'avoir accès à certaines données personnelles pour son vrai boulot.
De plus, ne surtout pas oublier que dans les pays Anglo-saxon, comme les USA, la notion de vie privée, de données personnelles, de respect des celles-ci ne sont pas du tout les mêmes que dans nos pays latins.
Ce qui peut nous paraitre scandaleux ici, peut paraitre parfaitement normal là-bas.

Et peut-on leur faire une confiance totale et aveugle ?

Qu'on le puisse ou pas, de manière générale on ne doit faire une confiance aveugle à personne. Ce n'est pas parce qu'on fait une confiance aveugle à quelqu'un que ce quelqu'un ne peut pas se tromper à moment donné.

Il n'est pas là le problème potentiel. Étant donné que la NSA connait parfaitement ce code, qui nous dis que parallèlement il n'a pas créé d'autres outils pour l'exploiter en toute discrétion. C'est comme les poisons, l'inventeur d'un nouveau poison invente en même temps l'antidote ... au cas où. Idem pour le serrurier génial qui invente à la fois la serrure inviolable et le passe-partout au cas où le propriétaire de la serrure perd la clé.

Comme il a été dit, le meilleur moyen est d'analyser le code.
Si la NSA y a introduit des backdoors, puisque le code est open source et donc analysable, elles doivent pourvoir être identifier relativement facilement.
Sinon la NSA, n'a pas introduit de backdoors mais exploite des données "légitimes", il doit être aussi possible d'identifier quelles données "légitimes" peut récupérer ce logiciel et l'exploitation qu'il peut en être fait. De plus pour pouvoir les exploiter il faut qu'elle puisse les récupérer. Cela aussi doit se voir dans le code.

Donc non il n'y aura probablement pas de grossières entourloupes de découvertes dans ce code.




Chose qui sera beaucoup plus difficile à voir par contre : la NSA nous livre le code, on peut donc supposer qu'il est propre et qu'il n'y aurait rien à trouver dedans. Maintenant ce code là utilise certainement des codes annexes (librairie, framework, etc ...) habituellement légitime, faisant parti des standard, des systèmes d'exploitation, etc, mais non livré ici. Ce code analysé par des personnes tierces avec les librairies annexes légitimes, les versions qu'elles ont en leur possession, ne donnera rien et paraitra propre.
Mais rien ne dit que la NSA, quand elle fourni elle-même l’exécutable, ne fournit-elle pas aussi des versions subtilement modifiées de ces librairies habituellement légitime ?
Fournir le code open source de son logiciel ne serait alors qu'un moyen de communiquer, de se refaire une virginité et de détourner l'attention ?
Dans le jargon, on appelle ça "Donner un os à ronger"

[armeloo]

le comble c'est que certaines personnes tomberont dans la face, pour ma part, La NSA assurera votre sécurité à votre place. c'est un outil qui leur permettra d'avoir de plus en plus de cibles.
Dans un monde ou l'industrie informatique avance à grand pas et que près de 70% de population mondiale à accès, sera le maitre celui qui arrive à implanter des mouchards, portes dérobées ou autres espèces de réseaux bots pour le contrôle de la plus grande armée. C'est fascinant et inquiétant quand on sait qu'un virus virtuel peut causer des dommages physiques...
Like Armeloo CIV