[afnog] défis majeurs de l'Internet en terme d e sécurité

Jean Robert Hountomey hrobert at iservices.tg
Tue Jun 8 20:39:28 UTC 2010 

Un exemple africain a suivre

http://www.cicert.ci/pages/qmimages/Rapport_Annuel_CICERT_2009.pdf

--------------------------------------------------
From: "Benoit Morel" <bm1v at andrew.cmu.edu>
Sent: Tuesday, June 08, 2010 8:18 PM
To: "Harouna MOUMOUNI" <h.moumouni at gmail.com>
Cc: "afnog" <afnog at afnog.org>
Subject: Re: [afnog] défis majeurs de l'Internet en terme d e sécurité

> Harouna,
>  c'est ce que j'appelerais un episode important et typique. Non seulement
> l'internet est naturellement fragile, mais cette fragilite est amplifiee
> par les erreurs humaines.
>  Le fait qu'il soit possible d'interdire toute "ICMP queries" (pardonne
> le fait que je ne sais pas toujours le mot francais. J'ai appris aux
> Etats Unis...) sur les routeurs et que les autres fonctions genre Telnet
> sont traitees completement differemment est dans un sens une
> vulnerabilite. En principe, des professionels ne feraient pas l'erreur
> de laisser l'acces au routeur par telnet aussi aise. Le probleme est que
> meme les meilleurs professionels font ce genre d'erreur. Ce que tu as
> experimente au Niger, tu aurais pu l'experimente aux Etats Unis...
>  Il y a des choses que les Etats Unis savent mieux faire dans un sens.
> Mais quand il s'agot d'erreur humaine, on est tous dans le meme
> bateau...
>  La reponse a ce genre de probleme dans mon esprit est base sur la
> creation d'un reseau d'operateurs qui echangent ce genre d'information
> et qui peuvent alerter une autorite du probleme. Le gar que tu as essaye
> de reveiller fait partie du probleme. Autrement dit le probleme a une
> dimension humaine et une raison d'avoir des gens comme toi connecte avec
> d'autres du meme genre est de suppleer a leurs limites.
>  Le probleme que tu as souleve n'est pas specifique a l'Afrique. Il est
> endemique. Le jour ou les vrais cyber terrosistes ou criminels realisent
> la situation, on sera dans une M..... pas possible.
>   Des gens comme toi doivent etre encourages. Le probleme est mondial,
> mais les Africains ont le potentiel de s'organiser de telle maniere
> qu'ils peuvent eviter des problemes qui vont affecter le rest du monde.
> S'ils le font bien, ils peuvent devenir un exemple...
>   Je ne connais pas la situation au Niger vis a vis des ISPs. Mais il
> doit etre possible de travailler au niveau "regulation" et peut-etre
> aussi au niveau des institutions pour rendre ce pays moins vulnerable a
> ce genre d'erreur.
>   Je serais heureux d'etre utile a ton pays (que j'ai visite courtement
> dans le passe mais qui m'a impressionne par sa beaute) de quelque
> maiere que tu juges utile.
>   Amicalement, Benoit
>
>
> On Tue, June 8, 2010 1:08 pm, Harouna MOUMOUNI wrote:
>> Bonjour Benoit,
>> Je me réjouis de voir encore les précieuses contributions des uns et des
>> autres et surtout de la main que vous nous tendez pour nous aider à
>> essayer de relever ce défis. Pour un peu illustrer ce que je dis, en
>> septembre passé, à cause d'un problème électrique qui a fait partir des
>> équipements, je devais aider un ami à reconfigurer les nouveaux qu'il a
>> acquis. Il a comme ISP, un opérateur qui propose des solutions de 
>> sécurité
>> dans ses offres. (une gamme complète pour une sécurité absolue selon 
>> lui).
>> A travers les configurations, alors
>> qu'il était sensé offrir une seule adresse IP routable, je me suis rendu
>> compte qu'on avait la possibilité d'exploiter en /29. j'ai alors utilisé
>> toutes la plage d'adresse de ce sous réseau, ça fonctionnait bien. Tenté
>> par la curiosité, je me suis permis de tenter d'en savoir plus sur ce
>> qu'ils font. j'ai alors pris une logiciel basique de scan (networview) et
>> j'ai identifié les équipements sur la plage /16 de son sous réseau. J'ai
>> pu alors identifié quelques routeur cisco "bien robustes" qui trônaient
>> sur le réseau. J'ai tenté de faire des ping sur routeurs, ça ne passait
>> pas bien sur (ils sont des spécialistes en sécurité), Mais, tenez vous
>> bien, quand j'ai demandé une connexion telnet sur les routeurs, deux
>> d'entre eux m'ont donné un accès privilégié avec la combinaison
>> enable/cisco, j'ai dit "merde ces gars vont nous tuer !!! ". J'ai
>> immédiatement pris le combiné pour appeler leurs services, on me passe
>> alors le responsable infrastructures réseaux à qui je tentais d'expliquer
>> le problème des adresse IP qui étaient de trop 6 au lieu d'une seule. Je
>> lui dis qu'ils ont attribué un /29, il avait du mal à se tirer d'affaire,
>> on a du alors expliquer en terme de IP/netmask, mais il a compris. Alors,
>> je lui parle des routeurs non protegés, il m'a dit que c'est faut, que je
>> n'ai pas pu avoir un accès à distance parce qu'ils disposent d'un 
>> firewall
>> et qu'ils ont fait des test ICMP à partir de la france et le firewall les
>> rejetaient tous. Devant mon insistance, il m'a alors dit "Ecoutez
>> monsieur, je ne vais pas perdre mon temps sur cette affaire, un routeur
>> qui n'accepte pas le ping, comment pourra t il te laisser faire un telnet
>> sur lui et qu'il te donne un accès privilégié ?". Je lui ai alors demandé
>> s'il y'avait un lien entre "ping" et "telnet", il a dit "nous on est pas
>> là pour écouter les gens jouer aux connaisseurs, d'ailleurs, votre
>> connexion marche oui ou non ?" j'ai dit "ça marche", il m'a alors dit
>> "alors monsieur, j'ai du boulot qui m'attend, au
>> revoir et merci" Je n'en revenais pas. et dire que beaucoup 
>> d'institutions
>> ont fait confiance en leur solutions de sécurité... *Celui qui n'est pas
>> capable de se défendre, pourra t il garantir la sécurité de quelqu'un 
>> sous
>> sa protection ?... * Comme vous l'avez dit Bénoit, il n'est pas donné au
>> premier venu de voir la fragilité de cette infrastructure qui est
>> paradoxalement tout autant critique pour le monde d'aujourd'hui. nos
>> opérateurs locaux disposent certes d'équipements de dernière génération
>> pour la plupart d'entre eux, mais le fait qu'ils soient mal déployés ne
>> fait qu'accentuer le problème... Nous avons besoin d'être conscientisés
>> d'abord sur les dangers et ce que notre inertie peut couter à nos
>> infrastructures et à tout le système Internet. Après cette prise de
>> conscience, c'est la formation qui s'impose, d'abord sur la conception
>> d'une infrastructure réseaux, ensuite son déploiement correct et enfin 
>> son
>> monitoring. J'ai demandé à maintes reprise à certains techniciens des ISP
>> (l'opérateur
>> historique inclu) de demander à se faire assister (gratuitement) par
>> AFRINIC
>> pour les aider à résoudre certains problèmes récurrents (DNS et routage 
>> et
>>  systèmes d adressages), mais on préfère toujours tatonner... Je suis
>> ingénieur de spécialisation sécurité systèmes et réseaux (mais au stade
>> junior); je suis en instance de formation d'un groupe de réflexion sur la
>> gouvernance de l'internet et la cybersécurité. Je suis en train 
>> d'échanger
>> pour cela avec d'autres responsables informatiques et ingénieurs pour
>> essayer de dégager la démarche à suivre ensemble; mon objectif est de
>> toucher le maximum de décideurs pour qu'ils puissent faire appel aux
>> vrais spécialistes qui leur feront des propositions concrètes en vue de
>> rendre nos infrastructures plus sures et mettre à l'abri les utilisateurs
>> et leurs ressources. Bien sur, il n'est pas facile de réunir les gens à
>> cause de nos responsabilités professionnelles respectives; mais avec une
>> seule action concrète, j'espère pouvoir réunir autour de ces idéaux,
>> plusieurs personnes... Depuis l'an passé, j'ai pu faire inclure les 
>> modules
>> de sécurité dans une école (institut africain de technologie) qui forme
>> aux niveaux licence et master ici (modules dont je suis chargé) en
>> espérant qu'en transmettant le peu de connaissance que j'ai, ces 
>> étudiants
>> (à peu près 80 pour les 3
>> niveaux) deviendront des interlocuteurs plus tard. Tous ceux qui pourront
>> aider avec des idées, des références et leurs expériences, sont les
>> bienvenues. Many thanks
>>
>>
>> --
>> Harouna Moumouni
>> MSc Systèmes, réseaux et sécurité
>> National IT Officer, Save the Children UK-Niger
>> Mob : 90 05 58 04
>> Niamey NIGER
>>
>>
>
>
> -- 
> Benoit Morel, Professor
> Engineering and Public Policy
> Carnegie Mellon University
> Pittsburgh, Pa 15213
> (412) 268-3758
> bm1v at andrew.cmu.edu
>
>
> _______________________________________________
> afnog mailing list
> http://afnog.org/mailman/listinfo/afnog

More information about the afnog mailing list