[afnog] défis majeurs de l'Internet en terme d e sécurité

[Harouna MOUMOUNI]

Bonjour Benoit,
Je me réjouis de voir encore les précieuses contributions des uns et des
autres et surtout de la main que vous nous tendez pour nous aider à essayer
de relever ce défis.
Pour un peu illustrer ce que je dis, en septembre passé, à cause d'un
problème électrique qui a fait partir des équipements, je devais aider un
ami à reconfigurer les nouveaux qu'il a acquis. Il a comme ISP, un opérateur
qui propose des solutions de sécurité dans ses offres. (une gamme complète
pour une sécurité absolue selon lui). A travers les configurations, alors
qu'il était sensé offrir une seule adresse IP routable, je me suis rendu
compte qu'on avait la possibilité d'exploiter en /29. j'ai alors utilisé
toutes la plage d'adresse de ce sous réseau, ça fonctionnait bien. Tenté par
la curiosité, je me suis permis de tenter d'en savoir plus sur ce qu'ils
font. j'ai alors pris une logiciel basique de scan (networview) et j'ai
identifié les équipements sur la plage /16 de son sous réseau. J'ai pu alors
identifié quelques routeur cisco "bien robustes" qui trônaient sur le
réseau. J'ai tenté de faire des ping sur routeurs, ça ne passait pas bien
sur (ils sont des spécialistes en sécurité), Mais, tenez vous bien, quand
j'ai demandé une connexion telnet sur les routeurs, deux d'entre eux m'ont
donné un accès privilégié avec la combinaison enable/cisco, j'ai dit "merde
ces gars vont nous tuer !!! ". J'ai immédiatement pris le combiné pour
appeler leurs services, on me passe alors le responsable infrastructures
réseaux à qui je tentais d'expliquer le problème des adresse IP qui étaient
de trop 6 au lieu d'une seule. Je lui dis qu'ils ont attribué un /29, il
avait du mal à se tirer d'affaire, on a du alors expliquer en terme de
IP/netmask, mais il a compris. Alors, je lui parle des routeurs non
protegés, il m'a dit que c'est faut, que je n'ai pas pu avoir un accès à
distance parce qu'ils disposent d'un firewall et qu'ils ont fait des test
ICMP à partir de la france et le firewall les rejetaient tous. Devant mon
insistance, il m'a alors dit "Ecoutez monsieur, je ne vais pas perdre mon
temps sur cette affaire, un routeur qui n'accepte pas le ping, comment
pourra t il te laisser faire un telnet sur lui et qu'il te donne un accès
privilégié ?". Je lui ai alors demandé s'il y'avait un lien entre "ping" et
"telnet", il a dit "nous on est pas là pour écouter les gens jouer aux
connaisseurs, d'ailleurs, votre connexion marche oui ou non ?" j'ai dit "ça
marche", il m'a alors dit "alors monsieur, j'ai du boulot qui m'attend, au
revoir et merci"
Je n'en revenais pas. et dire que beaucoup d'institutions ont fait confiance
en leur solutions de sécurité...
*Celui qui n'est pas capable de se défendre, pourra t il garantir la
sécurité de quelqu'un sous sa protection ?... *
Comme vous l'avez dit Bénoit, il n'est pas donné au premier venu de voir la
fragilité de cette infrastructure qui est paradoxalement tout autant
critique pour le monde d'aujourd'hui.
nos opérateurs locaux disposent certes d'équipements de dernière génération
pour la plupart d'entre eux, mais le fait qu'ils soient mal déployés ne fait
qu'accentuer le problème...
Nous avons besoin d'être conscientisés d'abord sur les dangers et ce que
notre inertie peut couter à nos infrastructures et à tout le système
Internet. Après cette prise de conscience, c'est la formation qui s'impose,
d'abord sur la conception d'une infrastructure réseaux, ensuite son
déploiement correct et enfin son monitoring.
J'ai demandé à maintes reprise à certains techniciens des ISP (l'opérateur
historique inclu) de demander à se faire assister (gratuitement) par AFRINIC
pour les aider à résoudre certains problèmes récurrents (DNS et routage et
systèmes d adressages), mais on préfère toujours tatonner...
Je suis ingénieur de spécialisation sécurité systèmes et réseaux (mais au
stade junior); je suis en instance de formation d'un groupe de réflexion sur
la gouvernance de l'internet et la cybersécurité. Je suis en train
d'échanger pour cela avec d'autres responsables informatiques et ingénieurs
pour essayer de dégager la démarche à suivre ensemble; mon objectif est de
toucher le maximum de décideurs pour qu'ils puissent faire appel aux vrais
spécialistes qui leur feront des propositions concrètes en vue de rendre nos
infrastructures plus sures et mettre à l'abri les utilisateurs et leurs
ressources.
Bien sur, il n'est pas facile de réunir les gens à cause de nos
responsabilités professionnelles respectives; mais avec une seule action
concrète, j'espère pouvoir réunir autour de ces idéaux, plusieurs
personnes...
Depuis l'an passé, j'ai pu faire inclure les modules de sécurité dans une
école (institut africain de technologie) qui forme aux niveaux licence et
master ici (modules dont je suis chargé) en espérant qu'en transmettant le
peu de connaissance que j'ai, ces étudiants (à peu près 80 pour les 3
niveaux) deviendront des interlocuteurs plus tard.
Tous ceux qui pourront aider avec des idées, des références et leurs
expériences, sont les bienvenues.
Many thanks

--
Harouna Moumouni
MSc Systèmes, réseaux et sécurité
National IT Officer, Save the Children UK-Niger
Mob : 90 05 58 04
Niamey NIGER
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://afnog.org/pipermail/afnog/attachments/20100608/2334af5e/attachment.htm>