[afnog] défis majeurs de l'Internet en terme d e sécurité

[Benoit Morel]

Jean Robert,

   Non seulement CICERT est un exemple a suivre, mais a imiter. Je suis
impressionne par le fait que le gouvernment Ivoirien ait eu la bonne
idee de lancer cette operation avec un personnel comprenant six
personnes. En peu de temps, il me semble qu'ils ont accompli et appris
beaucoup.
 La relation qu'ils essaient de construire progressivement avec les FAI
(batie partiellement sur des deboires initiaux) est potentiellement tres
precieuse et importante. Comme on l'a vu avec l'exemple du Niger de
Haroina, les FAI eux-memes peuvent etre partie du probleme en plus d'etre
partie de la solution.
  Pour l'instant la cybercriminalite qu'ils ont decouverts n'impliquent
que des Africains et "Heritage" et le "love tchat" sont les problemes
les plus courants. Mais avec la connection "broad band" la Cote D'Ivoire
va soudain etre plongee dans the "wild West" qu'est l'internet. Le fait
qu'ils aient CICERT va sans aucun doute leur permettre de faire une
transition plus "smooth".
  Ils mentionent leur ambition d'entrer dans FIRST et de trouver des
parrains pour ca. C'est une tres bonne idee et je suggere qu'ils se
rapprochent des Tunisiens. Je les connais trers bien, ils ont un tres
bon "track record" et je suis sur qu'ils seront prets a aider et a
donner des conseils utiles et precieux.
  Si j'ai un conseil pour le Togo (et pas seulement le Togo...), prenez
exemple sur les Ivoiriens...
   Tout ca se passe dans un contexte ou comme on l'a vu recemment a Kigali
a la conference de l'Afrinic, l'Afrique en general est en train
d'etablir les bases d'une structure de cybersecurite au niveau du
continent.
   Tout ca me semble tres prometteur.
                Benoit



On Tue, June 8, 2010 4:39 pm, Jean Robert Hountomey wrote:
> Un exemple africain a suivre
>
>
> http://www.cicert.ci/pages/qmimages/Rapport_Annuel_CICERT_2009.pdf
>
>
> --------------------------------------------------
> From: "Benoit Morel" <bm1v at andrew.cmu.edu>
> Sent: Tuesday, June 08, 2010 8:18 PM
> To: "Harouna MOUMOUNI" <h.moumouni at gmail.com>
> Cc: "afnog" <afnog at afnog.org>
> Subject: Re: [afnog] défis majeurs de l'Internet en terme d e sécurité
>
>
>> Harouna,
>> c'est ce que j'appelerais un episode important et typique. Non seulement
>>  l'internet est naturellement fragile, mais cette fragilite est
>> amplifiee par les erreurs humaines. Le fait qu'il soit possible
>> d'interdire toute "ICMP queries" (pardonne le fait que je ne sais pas
>> toujours le mot francais. J'ai appris aux Etats Unis...) sur les
>> routeurs et que les autres fonctions genre Telnet sont traitees
>> completement differemment est dans un sens une vulnerabilite. En
>> principe, des professionels ne feraient pas l'erreur de laisser l'acces
>> au routeur par telnet aussi aise. Le probleme est que meme les meilleurs
>> professionels font ce genre d'erreur. Ce que tu as experimente au Niger,
>> tu aurais pu l'experimente aux Etats Unis... Il y a des choses que les
>> Etats Unis savent mieux faire dans un sens.
>> Mais quand il s'agot d'erreur humaine, on est tous dans le meme
>> bateau... La reponse a ce genre de probleme dans mon esprit est base sur
>> la creation d'un reseau d'operateurs qui echangent ce genre
>> d'information et qui peuvent alerter une autorite du probleme. Le gar
>> que tu as essaye de reveiller fait partie du probleme. Autrement dit le
>> probleme a une dimension humaine et une raison d'avoir des gens comme
>> toi connecte avec d'autres du meme genre est de suppleer a leurs
>> limites. Le probleme que tu as souleve n'est pas specifique a l'Afrique.
>> Il est
>> endemique. Le jour ou les vrais cyber terrosistes ou criminels realisent
>>  la situation, on sera dans une M..... pas possible. Des gens comme toi
>> doivent etre encourages. Le probleme est mondial, mais les Africains ont
>> le potentiel de s'organiser de telle maniere qu'ils peuvent eviter des
>> problemes qui vont affecter le rest du monde. S'ils le font bien, ils
>> peuvent devenir un exemple... Je ne connais pas la situation au Niger
>> vis a vis des ISPs. Mais il doit etre possible de travailler au niveau
>> "regulation" et peut-etre
>> aussi au niveau des institutions pour rendre ce pays moins vulnerable a
>> ce genre d'erreur. Je serais heureux d'etre utile a ton pays (que j'ai
>> visite courtement dans le passe mais qui m'a impressionne par sa beaute)
>> de quelque maiere que tu juges utile. Amicalement, Benoit
>>
>>
>>
>> On Tue, June 8, 2010 1:08 pm, Harouna MOUMOUNI wrote:
>>
>>> Bonjour Benoit,
>>> Je me réjouis de voir encore les précieuses contributions des uns et
>>> des autres et surtout de la main que vous nous tendez pour nous aider
>>> à essayer de relever ce défis. Pour un peu illustrer ce que je dis, en
>>>  septembre passé, à cause d'un problème électrique qui a fait partir
>>> des équipements, je devais aider un ami à reconfigurer les nouveaux
>>> qu'il a acquis. Il a comme ISP, un opérateur qui propose des solutions
>>> de sécurité dans ses offres. (une gamme complète pour une sécurité
>>> absolue selon lui). A travers les configurations, alors
>>> qu'il était sensé offrir une seule adresse IP routable, je me suis
>>> rendu compte qu'on avait la possibilité d'exploiter en /29. j'ai alors
>>> utilisé toutes la plage d'adresse de ce sous réseau, ça fonctionnait
>>> bien. Tenté par la curiosité, je me suis permis de tenter d'en savoir
>>> plus sur ce qu'ils font. j'ai alors pris une logiciel basique de scan
>>> (networview) et
>>> j'ai identifié les équipements sur la plage /16 de son sous réseau.
>>> J'ai
>>> pu alors identifié quelques routeur cisco "bien robustes" qui
>>> trônaient sur le réseau. J'ai tenté de faire des ping sur routeurs, ça
>>> ne passait pas bien sur (ils sont des spécialistes en sécurité), Mais,
>>> tenez vous bien, quand j'ai demandé une connexion telnet sur les
>>> routeurs, deux d'entre eux m'ont donné un accès privilégié avec la
>>> combinaison enable/cisco, j'ai dit "merde ces gars vont nous tuer !!!
>>> ". J'ai
>>> immédiatement pris le combiné pour appeler leurs services, on me passe
>>>  alors le responsable infrastructures réseaux à qui je tentais
>>> d'expliquer le problème des adresse IP qui étaient de trop 6 au lieu
>>> d'une seule. Je lui dis qu'ils ont attribué un /29, il avait du mal à
>>> se tirer d'affaire, on a du alors expliquer en terme de IP/netmask,
>>> mais il a compris. Alors, je lui parle des routeurs non protegés, il
>>> m'a dit que c'est faut, que je n'ai pas pu avoir un accès à distance
>>> parce qu'ils disposent d'un firewall et qu'ils ont fait des test ICMP à
>>> partir de la france et le firewall les rejetaient tous. Devant mon
>>> insistance, il m'a alors dit "Ecoutez monsieur, je ne vais pas perdre
>>> mon temps sur cette affaire, un routeur qui n'accepte pas le ping,
>>> comment pourra t il te laisser faire un telnet sur lui et qu'il te
>>> donne un accès privilégié ?". Je lui ai alors demandé s'il y'avait un
>>> lien entre "ping" et "telnet", il a dit "nous on est pas là pour
>>> écouter les gens jouer aux connaisseurs, d'ailleurs, votre connexion
>>> marche oui ou non ?" j'ai dit "ça marche", il m'a alors dit "alors
>>> monsieur, j'ai du boulot qui m'attend, au revoir et merci" Je n'en
>>> revenais pas. et dire que beaucoup d'institutions ont fait confiance en
>>> leur solutions de sécurité... *Celui qui n'est pas capable de se
>>> défendre, pourra t il garantir la sécurité de quelqu'un sous sa
>>> protection ?... * Comme vous l'avez dit Bénoit, il n'est pas donné au
>>>  premier venu de voir la fragilité de cette infrastructure qui est
>>> paradoxalement tout autant critique pour le monde d'aujourd'hui. nos
>>> opérateurs locaux disposent certes d'équipements de dernière
>>> génération pour la plupart d'entre eux, mais le fait qu'ils soient mal
>>> déployés ne fait qu'accentuer le problème... Nous avons besoin d'être
>>> conscientisés d'abord sur les dangers et ce que notre inertie peut
>>> couter à nos infrastructures et à tout le système Internet. Après
>>> cette prise de conscience, c'est la formation qui s'impose, d'abord
>>> sur la conception d'une infrastructure réseaux, ensuite son
>>> déploiement correct et enfin son monitoring. J'ai demandé à maintes
>>> reprise à certains techniciens des ISP (l'opérateur
>>> historique inclu) de demander à se faire assister (gratuitement) par
>>> AFRINIC
>>> pour les aider à résoudre certains problèmes récurrents (DNS et
>>> routage et systèmes d adressages), mais on préfère toujours tatonner...
>>> Je suis
>>> ingénieur de spécialisation sécurité systèmes et réseaux (mais au
>>> stade junior); je suis en instance de formation d'un groupe de
>>> réflexion sur la gouvernance de l'internet et la cybersécurité. Je
>>> suis en train d'échanger pour cela avec d'autres responsables
>>> informatiques et ingénieurs pour essayer de dégager la démarche à
>>> suivre ensemble; mon objectif est de toucher le maximum de décideurs
>>> pour qu'ils puissent faire appel aux vrais spécialistes qui leur
>>> feront des propositions concrètes en vue de rendre nos infrastructures
>>> plus sures et mettre à l'abri les utilisateurs et leurs ressources.
>>> Bien sur, il n'est pas facile de réunir les gens à
>>> cause de nos responsabilités professionnelles respectives; mais avec
>>> une seule action concrète, j'espère pouvoir réunir autour de ces
>>> idéaux, plusieurs personnes... Depuis l'an passé, j'ai pu faire
>>> inclure les modules de sécurité dans une école (institut africain de
>>> technologie) qui forme aux niveaux licence et master ici (modules dont
>>> je suis chargé) en espérant qu'en transmettant le peu de connaissance
>>> que j'ai, ces étudiants (à peu près 80 pour les 3
>>> niveaux) deviendront des interlocuteurs plus tard. Tous ceux qui
>>> pourront aider avec des idées, des références et leurs expériences,
>>> sont les bienvenues. Many thanks
>>>
>>>
>>> --
>>> Harouna Moumouni
>>> MSc Systèmes, réseaux et sécurité
>>> National IT Officer, Save the Children UK-Niger
>>> Mob : 90 05 58 04
>>> Niamey NIGER
>>>
>>>
>>>
>>
>>
>> --
>> Benoit Morel, Professor
>> Engineering and Public Policy
>> Carnegie Mellon University
>> Pittsburgh, Pa 15213
>> (412) 268-3758
>> bm1v at andrew.cmu.edu
>>
>>
>> _______________________________________________
>> afnog mailing list http://afnog.org/mailman/listinfo/afnog
>>
>
>
>


-- 
Benoit Morel, Professor
Engineering and Public Policy
Carnegie Mellon University
Pittsburgh, Pa 15213
(412) 268-3758
bm1v at andrew.cmu.edu