[afnog] défis majeurs de l'Internet en terme d e sécurité

[Benoit Morel]

Harouna,
  c'est ce que j'appelerais un episode important et typique. Non seulement
l'internet est naturellement fragile, mais cette fragilite est amplifiee
par les erreurs humaines.
  Le fait qu'il soit possible d'interdire toute "ICMP queries" (pardonne
le fait que je ne sais pas toujours le mot francais. J'ai appris aux
Etats Unis...) sur les routeurs et que les autres fonctions genre Telnet
sont traitees completement differemment est dans un sens une
vulnerabilite. En principe, des professionels ne feraient pas l'erreur
de laisser l'acces au routeur par telnet aussi aise. Le probleme est que
meme les meilleurs professionels font ce genre d'erreur. Ce que tu as
experimente au Niger, tu aurais pu l'experimente aux Etats Unis...
  Il y a des choses que les Etats Unis savent mieux faire dans un sens.
Mais quand il s'agot d'erreur humaine, on est tous dans le meme
bateau...
  La reponse a ce genre de probleme dans mon esprit est base sur la
creation d'un reseau d'operateurs qui echangent ce genre d'information
et qui peuvent alerter une autorite du probleme. Le gar que tu as essaye
de reveiller fait partie du probleme. Autrement dit le probleme a une
dimension humaine et une raison d'avoir des gens comme toi connecte avec
d'autres du meme genre est de suppleer a leurs limites.
  Le probleme que tu as souleve n'est pas specifique a l'Afrique. Il est
endemique. Le jour ou les vrais cyber terrosistes ou criminels realisent
la situation, on sera dans une M..... pas possible.
   Des gens comme toi doivent etre encourages. Le probleme est mondial,
mais les Africains ont le potentiel de s'organiser de telle maniere
qu'ils peuvent eviter des problemes qui vont affecter le rest du monde.
S'ils le font bien, ils peuvent devenir un exemple...
   Je ne connais pas la situation au Niger vis a vis des ISPs. Mais il
doit etre possible de travailler au niveau "regulation" et peut-etre
aussi au niveau des institutions pour rendre ce pays moins vulnerable a
ce genre d'erreur.
   Je serais heureux d'etre utile a ton pays (que j'ai visite courtement
dans le passe mais qui m'a impressionne par sa beaute) de quelque
maiere que tu juges utile.
   Amicalement, Benoit


On Tue, June 8, 2010 1:08 pm, Harouna MOUMOUNI wrote:
> Bonjour Benoit,
> Je me réjouis de voir encore les précieuses contributions des uns et des
> autres et surtout de la main que vous nous tendez pour nous aider à
> essayer de relever ce défis. Pour un peu illustrer ce que je dis, en
> septembre passé, à cause d'un problème électrique qui a fait partir des
> équipements, je devais aider un ami à reconfigurer les nouveaux qu'il a
> acquis. Il a comme ISP, un opérateur qui propose des solutions de sécurité
> dans ses offres. (une gamme complète pour une sécurité absolue selon lui).
> A travers les configurations, alors
> qu'il était sensé offrir une seule adresse IP routable, je me suis rendu
> compte qu'on avait la possibilité d'exploiter en /29. j'ai alors utilisé
> toutes la plage d'adresse de ce sous réseau, ça fonctionnait bien. Tenté
> par la curiosité, je me suis permis de tenter d'en savoir plus sur ce
> qu'ils font. j'ai alors pris une logiciel basique de scan (networview) et
> j'ai identifié les équipements sur la plage /16 de son sous réseau. J'ai
> pu alors identifié quelques routeur cisco "bien robustes" qui trônaient
> sur le réseau. J'ai tenté de faire des ping sur routeurs, ça ne passait
> pas bien sur (ils sont des spécialistes en sécurité), Mais, tenez vous
> bien, quand j'ai demandé une connexion telnet sur les routeurs, deux
> d'entre eux m'ont donné un accès privilégié avec la combinaison
> enable/cisco, j'ai dit "merde ces gars vont nous tuer !!! ". J'ai
> immédiatement pris le combiné pour appeler leurs services, on me passe
> alors le responsable infrastructures réseaux à qui je tentais d'expliquer
> le problème des adresse IP qui étaient de trop 6 au lieu d'une seule. Je
> lui dis qu'ils ont attribué un /29, il avait du mal à se tirer d'affaire,
> on a du alors expliquer en terme de IP/netmask, mais il a compris. Alors,
> je lui parle des routeurs non protegés, il m'a dit que c'est faut, que je
> n'ai pas pu avoir un accès à distance parce qu'ils disposent d'un firewall
> et qu'ils ont fait des test ICMP à partir de la france et le firewall les
> rejetaient tous. Devant mon insistance, il m'a alors dit "Ecoutez
> monsieur, je ne vais pas perdre mon temps sur cette affaire, un routeur
> qui n'accepte pas le ping, comment pourra t il te laisser faire un telnet
> sur lui et qu'il te donne un accès privilégié ?". Je lui ai alors demandé
> s'il y'avait un lien entre "ping" et "telnet", il a dit "nous on est pas
> là pour écouter les gens jouer aux connaisseurs, d'ailleurs, votre
> connexion marche oui ou non ?" j'ai dit "ça marche", il m'a alors dit
> "alors monsieur, j'ai du boulot qui m'attend, au
> revoir et merci" Je n'en revenais pas. et dire que beaucoup d'institutions
> ont fait confiance en leur solutions de sécurité... *Celui qui n'est pas
> capable de se défendre, pourra t il garantir la sécurité de quelqu'un sous
> sa protection ?... * Comme vous l'avez dit Bénoit, il n'est pas donné au
> premier venu de voir la fragilité de cette infrastructure qui est
> paradoxalement tout autant critique pour le monde d'aujourd'hui. nos
> opérateurs locaux disposent certes d'équipements de dernière génération
> pour la plupart d'entre eux, mais le fait qu'ils soient mal déployés ne
> fait qu'accentuer le problème... Nous avons besoin d'être conscientisés
> d'abord sur les dangers et ce que notre inertie peut couter à nos
> infrastructures et à tout le système Internet. Après cette prise de
> conscience, c'est la formation qui s'impose, d'abord sur la conception
> d'une infrastructure réseaux, ensuite son déploiement correct et enfin son
> monitoring. J'ai demandé à maintes reprise à certains techniciens des ISP
> (l'opérateur
> historique inclu) de demander à se faire assister (gratuitement) par
> AFRINIC
> pour les aider à résoudre certains problèmes récurrents (DNS et routage et
>  systèmes d adressages), mais on préfère toujours tatonner... Je suis
> ingénieur de spécialisation sécurité systèmes et réseaux (mais au stade
> junior); je suis en instance de formation d'un groupe de réflexion sur la
> gouvernance de l'internet et la cybersécurité. Je suis en train d'échanger
> pour cela avec d'autres responsables informatiques et ingénieurs pour
> essayer de dégager la démarche à suivre ensemble; mon objectif est de
> toucher le maximum de décideurs pour qu'ils puissent faire appel aux
> vrais spécialistes qui leur feront des propositions concrètes en vue de
> rendre nos infrastructures plus sures et mettre à l'abri les utilisateurs
> et leurs ressources. Bien sur, il n'est pas facile de réunir les gens à
> cause de nos responsabilités professionnelles respectives; mais avec une
> seule action concrète, j'espère pouvoir réunir autour de ces idéaux,
> plusieurs personnes... Depuis l'an passé, j'ai pu faire inclure les modules
> de sécurité dans une école (institut africain de technologie) qui forme
> aux niveaux licence et master ici (modules dont je suis chargé) en
> espérant qu'en transmettant le peu de connaissance que j'ai, ces étudiants
> (à peu près 80 pour les 3
> niveaux) deviendront des interlocuteurs plus tard. Tous ceux qui pourront
> aider avec des idées, des références et leurs expériences, sont les
> bienvenues. Many thanks
>
>
> --
> Harouna Moumouni
> MSc Systèmes, réseaux et sécurité
> National IT Officer, Save the Children UK-Niger
> Mob : 90 05 58 04
> Niamey NIGER
>
>


-- 
Benoit Morel, Professor
Engineering and Public Policy
Carnegie Mellon University
Pittsburgh, Pa 15213
(412) 268-3758
bm1v at andrew.cmu.edu