Entretien avec Fred Raynal aka pappy (Quarkslab) Bonjour Fred, Ça va pappy ? Tu m’entends ou je dois parler plus fort ? Ah merde, désolé, je n’avais pas allumé mon sonotone (connards ;) Pourrais-tu te présenter un petit peu pour que les lecteurs te connaissent mieux ? Age : 43 J’ai obtenu mon diplôme d’ingénieur en 1996, mon doctorat en 2002, créé MISC Magazine, un magazine spécialisé sur la sécurité à la fin de mon doctorat, j’ai été rédacteur en chef jusqu’à début 2015. Presque en même temps que MISC, j’ai également lancé une conférence sur la sécurité en France, SSTIC. Ensuite j’ai travaillé au sein d’EADS, Sogeti, et j’ai finalement monté ma propre société appelée Quarkslab en décembre 2011. Nous sommes actuellement une trentaine de personnes, principalement des ingénieurs, des chercheurs (développeurs, chercheurs de VULN, « reversers », ... bref, des personnes liées à la sécurité). Je m’intéresse au domaine de la sécurité depuis 1996, en particulier à ce qui est lié au code (vulnérabilités, backdoor / rootkit), OS (espace utilisateur et noyau), la cryptographie, mais aussi un sujet connexe, la guerre de l’information. J’ai pas mal développé, cherché des vulnérabilités, patché des outils ... mais je n’ai plus le temps. Je deviens fou si je dois coder quelque chose car ça me prend une éternité comparé aux personnes avec qui je travaille. Je tente de compenser en étant plus malin. L’informatique est passée en 20 ans du PC peu connecté (ou du mainframe tout aussi peu connecté) à des serveurs et des terminaux multiples ultraconnectés. Les logiciels utilisés ont eux aussi beaucoup évolué avec notamment une généralisation de l’open source sur les serveurs et sur beaucoup d’applications (navigateurs, suite bureautique) côté clients. Mais depuis cinq ans, les terminaux mobiles d’un côté et les serveurs dans le cloud de l’autre ont montré un recul de la maitrise par l’utilisateur de ses données, ses applications et de ses serveurs. Au travers de ces évolutions sur ce temps long, quelle lecture as-tu de l’évolution de la Sécurité informatique ? Les gens voient les ordinateurs comme les voitures : ils veulent les utiliser, et ne se soucient pas de comment ça fonctionne. Par conséquent, les informaticiens ont décidé de garder l’infrastructure pour eux et de fournir des moyens faciles aux utilisateurs pour se servir de l’application, sans les laisser regarder ce qu’il y a « sous le capot ». Du coup, les gens perdent le contrôle de leur système (et des informations qu’ils gèrent), mais gagnent en confort et facilité d’utilisation. Ma grand-mère ne se soucie vraiment pas de savoir où se trouvent ses données. Elle veut les utiliser quand elle veut, facilement, sans avoir à configurer les fichiers quelque part sur son système. Le modèle d’attaque a totalement changé, mais les attaquants aussi. Il y a bien longtemps (plus de 10 ans auparavant), les attaquants tentaient d’être célèbres. Aujourd’hui, ils font leur travail pour de l’argent. C’est un travail, peu importe si il est légal ou pas. De plus, les attaquants et défenseurs ont finalement compris que c’est l’information qui a de la valeur et non pas le logiciel. En matière de sécurité, nous devons nous adapter à l’usage. Ça ne sera jamais l’inverse, à moins que la sécurité soit imposée par la Loi. Faire de la sécurité pour la sécurité est inutile. Le but de la sécurité est de protéger les informations, données. On ne doit jamais l’oublier. Nous vivons actuellement une situation assez paradoxale : grâce aux révélations d’Edward Snowden, beaucoup de gens ont découvert un état de surveillance généralisée opéré par la NSA en dehors de tout contrôle démocratique et s’en sont émus. Et ce printemps, nous voyons arriver en France un texte de loi qui souhaite inscrire dans la loi un cadre qui peut déboucher sur une surveillance généralisée (boites noires) et à spectre large (cadre anti terroriste mais aussi anti républicain etc). N’est ce pas schizophrène ? Aux États-Unis, la vie privée est une réelle préoccupation. En France, personne ne s’en soucie. Les gens ont peur, et sont par conséquent plus concernés par tout ce qui améliore leur sécurité, même si cela leur coûte un peu de liberté ou de vie privée. Du côté des politiciens, aucun d’eux ne dit quoi que ce soit à propos de la NSA qui les espionne. Et qui fait les nouvelles lois sur la sécurité ? Ces mêmes politiciens. Leur objectif est d’être (re) élus c’est pourquoi ils cherchent à séduire le plus de monde possible. Et pour l’instant, les gens tiennent à leur sécurité, pas à leur vie privée. Pourrais-tu éclairer le public sur la situation légale actuelle en France et en Europe des sociétés qui font de la recherche/vente de vulnérabilités et de l’écriture/vente d’exploits ? Est-ce que Quarkslab est sur ce terrain et quelle approche adopte-elle ? En France, la Loi est très complexe et très changeante. Et puis je ne suis pas avocat. La chose la plus importante que je garde à l’esprit est qu’en tant que chercheur en sécurité, je dois avoir un motif légitime requis par la loi française pour effectuer certains travaux liés à la sécurité. Enfin, c’est ma vision des choses. Peut-être qu’un juge le verra différemment. Je ne suis pas à l’abri de le découvrir. J’ai toujours pris grand soin de ne pas franchir certaines limites et j’ai une assez longue carrière dans la sécurité jusqu’à présent, ce qui me laisse penser que j’ai fait les choses correctement. Et aujourd’hui, il n’y a pas vraiment besoin d’être dans l’illégalité pour apprendre la sécurité (ou le « hacking » comme certaines personnes l’appellent). Mais ne pas oublier que la Loi est une chose, l’éthique en est une autre. Les deux nous imposent des limites, pas nécessairement les mêmes. De récents changements concernant les vulnérabilités, et autres outils offensifs, ont été apportés par l’Arrangement de Wassenaar : Il traite de l’exportation et du contrôle sur les technologies à usage dual. Cela inclut des outils utilisables à des fins défensives ou offensives, comme un exploit. Lorsque vous testez votre propre sécurité, pour voir si votre défense saura détecter ou empêcher une attaque, aucun souci. Toutefois, si le même exploit est utilisé pour espionner quiconque, c’est illégal (et contraire à l‘éthique). L’Arrangement de Wassenaar oblige les pays à réglementer le double usage de « cybertools ». Nous faisons de la recherche de vulnérabilités. Cela peut être pour un client qui veut tester son propre programme, mais aussi pour une entreprise qui veut installer une application et se demande quel est son niveau de sécurité. Nous recherchons également des vulnérabilités pour notre propre compte, comme lorsque nous avons analysé le protocole iMessage. Parfois, nous les publions après notification et correction de l’éditeur (par exemple Samsung, Siemens, Apple), parfois nous les utilisons lors de nos missions, l’un n’empêche pas l’autre. Très souvent, notre client ne veut pas traiter les vulnérabilités trouvées dans le logiciel, que ce soit dans des composants tiers ou du logiciels évalué lui-même, car il y a encore beaucoup d’éditeur incapables de traiter correctement les bugs de sécurité qui lui sont signalés. Faisons un focus sur le Logiciel Libre : selon toi, depuis la fin des années 90, quel impact a eu le Logiciel Libre sur l’écosystème de la Sécurité ? Est-il marginal, a-t-il réussi à s’imposer ou est-il au milieu du gué ? Il y a eu beaucoup de progrès depuis les années 90. Il y a des contributions majeures, mais rarement en tant que produit de sécurité, même si il y a certains outils intéressants provenant de l’Open Source (GnuPG, Tor, Suricata, PaX / Grsecurity, OpenSSL ...). Cependant, il manque à la plupart de ces produits ce qui fait une réelle différence : une équipe complète. Bien sûr, des développeurs étonnants font ces outils. Mais ils ont besoin de mieux « vendre » le produit afin d’obtenir plus de financement, ils ont besoin d’une équipe de gestion de produit pour obtenir de l’argent et éviter les situations inattendues comme ce qui est arrivé avec OpenSSL ou GnuPG, d’avoir des gens qui revendent des tests, des supports et ainsi de suite. Côté entreprises, elles ont besoin de savoir où va un projet pour pouvoir s’appuyer dessus. Une chose que j’ai apprise au cours du temps est que d’avoir le meilleur produit ne suffit pas. Si nous voulons que l’open source gagne plus de soutien, ça ne viendra pas à l’open source : l’open source devra le gagner, conquérir de nouveaux territoires. Cependant, je ne suis pas sûr de savoir vers où nous nous dirigeons. Microsoft est en train de tout ouvrir de plus en plus alors que Google referme tout de plus en plus. Le temps passe, les choses changent. Et au-delà de la mise à disposition du code source, de son utilisation et de sa redistribution, la philosophie du logiciel libre a-t-elle eu selon toi une influence dans les contextes de divulgation des vulnérabilités par exemple ou du partage des connaissances entre chercheurs en Sécurité ? Est-ce que cette logique de partage te semble majoritaire dans le domaine de la Sécurité ou n’est-ce pas le cas car se heurtant à des impératifs de secret (NDA, secret défense, secret des affaires ...) ou de business model ? 90% des contrats sur lesquels nous travaillons sont sous la NDA. Cependant, nous fournissons des outils, des commentaires et espérons le des informations utiles à la communauté. C’est un faux débat. Certaines informations doivent être protégées. Que se passe t’il si nous trouvons un bug critique dans un serveur important et nous le communiquons ouvertement sans prévenir personne avant ? Seules les « méchants » en tireront profit. Les gars de la sécurité que je connais, habituellement, sont capables de différencier ce dont ils peuvent parler ou non. En général, parler d’une technique, d’un outil, comment il est utilisé, est partagé plus ou moins ouvertement selon les personnes. Parler précisément d’un contexte où l’outil a été utilisé, pour ce client, ..., on en parle jamais. Et c’est inutile. Les ingénieurs en sécurité ont une compréhension innée du secret. Cela aide beaucoup, mais ça signifie qu’ils savent aussi ce que vaut une information, si il est dangereux de la partager ou non. Je ne suis pas sûr que l’open source ait une influence sur ce point. C’est un monde différent avec des règles différentes. Tu as fondé MISC, journal de référence de la Sécurité informatique en France. Tu as aussi été l’un des fondateurs de la conférence SSTIC en 2003 qui, comme les RMLL, se porte toujours bien. Que retires-tu de ces expériences ? La création et la maturation sont-elles deux moteurs majeurs dans ta vie professionnelle et personnelle ? J’adore créer des « choses », les voir grandir, évoluer, changer. Je ne les ai jamais considérées comme les miennes. J’ai toujours essayé d’unir les idées des gens avec qui je partageais ces aventures. Notez qu’il en est de même avec mes padawans. Je prends un réel plaisir quand je les vois faire des choses que je suis totalement incapable de faire maintenant. Et c’est la même chose avec Quarkslab. La société a 3 ans maintenant, et nous faisons face à beaucoup de challenges. Nous fournissons des services comme tester les logiciels bien sûr, mais nous aidons aussi dans la conception d’une partie de la sécurité des logiciels ... et nous commençons à proposer nos propres produits tels que IRMA. Donc, oui, certainement, c’est ce qui me motive. Parlons un peu des RMLL : nous t’avons proposé une keynote pour parler d’un sujet qui te tiendrait à coeur sur la Sécurité et le Logiciel Libre. As-tu trouvé ton sujet ou tu es parti sur des histoires de chats, de p0wneys et de licornes ? ;-) J’y pense toujours... ce qui signifie en réalité que j’ai la tête sous l’eau et que je me contente de noter 2 3 trucs ici et là pour le moment. Mais je serai prêt le jour J … au moins 1 minute avant. Merci beaucoup pour cet entretien et rendez vous à tous lundi 6 Juillet à 14:00 à Beauvais pour lancer le thème Sécurité des RMLL avec Fred :-) Interview réalisée par Fred (of course) et l’équipe du track Sécurité des RMLL (Mathieu Blanc, Christophe Brocas and Philippe Teuwen) par pad et email.