lundi 12 mai 2014

A propos d'orange

Disclaimer : Je ne cherche pas à faire de la diffamation, ce qui va suivre reflète ce que je pense vraiment.

Update : J'avais raté ce discours de Stéphane Richard : "A chaque attaque, nous progressons". Au moins il y a du positif :-)

A l'annonce d'un deuxième piratage de données à caractère personnel depuis le début de l'année chez orange, je ne peux m'empêcher de réfléchir à cette situation (allez savoir pourquoi). Ma piste principale est qu'il n'y a pas vraiment plus de piratage qu'avant, mais qu'on en parle plus (Why Has There Been So Much Hacking Lately? Or Is It Just Reported More? A Freakonomics Quorum). En effet orange étant opérateur Internet, il est soumis à l'obligation de notifier les personnes victimes d'un vol de données (legifrance).

Il est évident qu'orange a une surface d'attaque immense entre les jeux éphémères, les sites promotionnels, les différents portails, les applications pour les utilisateurs et les applications internes. De plus les jeux et sites promotionnels sont généralement créés par des startups qui n'ont aucune idée des bonnes pratiques de codage. Côté portail, on peut repérer des grosses pointures comme Laurent BUTTI qui maitrise son sujet (vous trouverez de nombreux articles dans MISC (où il publie à titre personnel ?) ou dans les archives de l'ossir). Mais force est de constater qu'il travaille aussi bien en boite blanche qu'en boite noire... Si vous voulez lire plein de discussion d'expert sécurité d'orange, leur blog est pas mal.

D'un autre côté orange veut devenir un leader en sécurité informatique et pour cela a racheté Atheos, mais j'ai peur que ça tourne comme pour AQL (racheté en 2007) dont le CESTI a depuis été fermé (pas vraiment de message officiel, mais AQL ou orange ne figure plus sur le site de l'ANSSI).

Mais il ne faut pas confondre centre de cout et centre de profit. Ces sociétés ont été rachetées pour vendre du service directement aux clients d'orange business service et non pour servir l'interne. A noter qu'on trouve un entretien de Nicolas Furgé (responsable des offres sécurité chez OBS) qui noie le poisson en mélangeant les experts qui sont sur des projets internes et ceux qui travaillent pour les clients. Et hop ! OBS devient ainsi la "plus importante société de services européenne dans le marché de la cyberdéfense, renforçant son positionnement d’acteur majeur dans ce domaine sur le plan mondial".

Pour l'anecdote, après le piratage d'un jeu à 2 balles d'orange en 2009 (ou 2010, je ne trouve pas d'archive), quelques pentesters d'AQL ont voulu faire du proactif et ont failli se faire licencier pour tentative d'intrusion... De quoi mettre la bonne ambiance et donner envie de contribuer à sa société.

Pour faire un peu dans l'analyse, je dirai qu'orange a une surface d'attaque colossale et qu'on n'entend pas parler de tous les piratages et surtout que  les piratages ne sont pas tous détectés... La sécurité au sein d'orange n'est pas en avance sur les autres sociétés et les process internes sont vieux jeu. orange va conserver Athéos telle quelle et vendre du service, pourtant 130 experts supplémentaires ne seraient pas inutiles pour améliorer la sécurité interne d'orange. Je m'attends à davantage de piratages massifs tels que peuvent en subir des Google, Microsoft et Facebook et j'espère qu'orange mette en place une "vraie" dynamique sécurité en interne (à différencier d'un service minimum pour réparer la casse).
Petite idée pour la fin : Ca serait beau qu'orange soit une des premières société française à mettre en place un bug bounty (viadeo en a déjà un).



Quelques archives de piratages d'orange :
http://www.ehackingnews.com/2012/10/news-nullcrew-hacked-orange-uk.html
http://www.dslreports.com/forum/r22439596-Orange-French-Portal-Hacked-250-000-accounts-compromised

Ou encore le fail du logiel HADOPI et de la plateforme web qui allait avec :
http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire
J'avais souvenir que Sid disait (à l'instar d'EADS) qu'il y avait des experts reconnus chez orange, mais que bien souvenant dans les grands groupes, ils ne sont pas consultés sur des projets sur lesquels ils auraient pu apporter leur précieuse expertise.



Aucun commentaire:

Enregistrer un commentaire