Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Cybersécurité : dans les coulisses de l’ANSSI

Anssi, an 2014

Cybersécurité : dans les coulisses de l'ANSSI

Le 21 février 2014 à 12h37

C’est dans un haut immeuble en bord de Seine, au 31 Quai de Grenelle, que Patrick Pailloux, encore directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a fait visiter une partie de ses nouveaux locaux à un groupe de journalistes. PC INpact était présent pour l’occasion. Compte-rendu.

ANSSI patrick pailloux cybersécurité        

Dans ce nouveau centre opérationnel, « on retrouve des salles informatiques, des laboratoires, des cages de faraday, des experts de tout domaine, que ce soit le chiffrement, les logiciels, les téléphones portables » commente Patrick Pailloux. « Certains ont le métier de pompier afin de gérer les attaques informatiques. D’autres ont aussi pour mission de faire du conseil et d’assister les entreprises, les administrations et les citoyens à sécuriser leurs systèmes d’information. »

La cellule de veille

La visite commence par le Centre de crise, chargé de repérer les attaques informatiques. « Pour essayer d’illustrer notre activité, il y a trois ateliers. Au cœur du cœur de la défense nationale, le centre opérationnel, il y a d’abord la cellule de veille opérationnelle 24 heures sur 24. Là, tout arrive et tout repart ».

 

ANSSI patrick pailloux cybersécurité

La cellule de veille.

 

Téléphonie, courriel, mais également « des moyens plus résilients comme le réseau Bravo avec son téléphone Teorem ». Une zone est également prévue pour faire des échanges avec les homologues internationaux « pour pouvoir à tout moment échanger si le besoin se fait sentir ». La cellule en question a également pour mission « de veiller à tout ce qui se dit dans le domaine de la cybersécurité. Les pirates revendiquent, parfois même préviennent, qu’ils vont mener leurs attaques. » Sur les écrans, ainsi, une vulnérabilité zéro day (non corrigée) sur Internet Explorer annoncée par Microsoft scintille.

 

« Cette cellule surveille aussi plus de 1 000 sites de l’administration, ministères, collectivités locales, au sens large du terme, pour vérifier leur état technique. L’an passé, on a traité plus de 400 attaques de cette nature, dont les défacements ou les attaques par déni de service » qui vise à noyer un site par un lot incalculable de requêtes.

 

ANSSI patrick pailloux cybersécurité

 

Lorsqu’une attaque est effectivement vérifiée, la personne concernée est directement prévenue par l’ANSSI. « Cette cellule ne veille que sur ce qui se voit ; mais évidemment une grosse partie de la menace ne se voit pas. Ces moyens-là ne sont donc pas suffisants ».

Le centre de détection

« Pour parer des attaques à des fins d’espionnage ou de préparation de fin de sabotage, il faut parfois détecter des phénomènes beaucoup moins visibles. C’est le rôle du centre de détection. L’ANSSI dispose de 25 sondes aux frontières des réseaux d’administration avec Internet dont la fonction est de détecter, sans regarder le contenu, s’il ne se passe pas des choses un peu curieuses qui seraient le signe d’attaque ».

 

ANSSI patrick pailloux cybersécuritéLe centre de détection.

 

Sur les écrans, des exemples d’alertes sont affichés afin d’illustrer ce type d’attaque. Des fichiers attachés à des emails un peu curieux, où la machine du destinataire va se connecter sur une machine distante qui n’a pas lieu d’être. « Peu de temps après, on a vu que le flux de données dépassait de 65 fois le flux habituel observé. »

 

ANSSI patrick pailloux cybersécurité

 

Dans un graphique, on voit le débit des données informatiques qui sortent d’une administration avec des vagues représentants les phases actives – le jour – ou passives – la nuit ou entre midi et quatorze heures. « Si vous regardez cette courbe, vous voyez un pic de données colossales. Cela peut représenter une opération de sauvegarde mais le travail de l’équipe sera avant tout de qualifier ces évènements, regarder ce qu’il en est. »

 

Sur un autre écran, un voit l’ensemble des flux qui sortent d’une administration avec leur destination (Google, Facebook, OVH, etc.)

 

ANSSI patrick pailloux cybersécurité

350 personnes en 2013, 500 en 2014

« L’an dernier, les équipes ont traité plus de 15 millions de signalements qui ont déclenché plus de 1 500 tickets d’incidents après qualification ». Ces tickets, une fois édités, remontent dans les autres étages de l’ANSSI pour voir ce qu’il en est, avec prise de contact de l’administration concernée, etc.

 

« Cette cellule est assez confidentielle d’abord parce que les gens qui connaitraient notre façon de travailler, ce qu’il y a dans nos sondes, etc. évidemment sauraient la façon de les contourner. Deuxièmement, nos capacités reposent sur des signatures qu’il y a dans ces sondes et donc notre connaissance extrême de la menace. D’où la nécessite pour nous d’avoir les meilleurs extrêmes possibles ».

 

Dans les équipes, une majorité d’hommes, avec une moyenne d’âge de 32 ans, avec une moyenne de Bac + 5. « Mais on a aussi des docteurs, des thésards,... » précise Patrick Pailloux. Ce service du Premier ministre qui a pour fonction la défense des systèmes d’information compte désormais 350 personnes et même 500 personnes fin 2014 en ajoutant le site des Invalides, devenu désormais trop étroit. Les nouvelles capacités de l’ANSSI face aux opérateurs d’infrastructure vitale (OIV) et la loi de programmation militaire poussent l'institution à revoir ses effectifs à la hausse. « Il va falloir identifier les systèmes critiques, mener les audits, analyser les évènements. Voilà pourquoi nous recrutons ».

 

Patrick Pailloux reconnait cependant que « pour les OIV, l’ANSSI, quel que soit ses moyens, ne pourra jamais répondre à l’ensemble des attaques auxquelles nous sommes confrontées. Notre stratégie est aussi de développer l’offre des entreprises privées pour aider les acteurs à se sécuriser ».

Le centre de situation et d'analyse

Dans une dernière cellule, proche de la salle de décision qui se réunit en cas de crise - notamment d’une attaque face à un opérateur d’infrastructure vital (centrale nucléaire, communication, etc.), se tient la salle de situation et d’analyse.

 

« L’une des fonctions de l’ANSSI est d’être pompier, intervenir en cas d’attaque. Généralement une entreprise ou une administration est désarmée face à ces situations. Notre rôle va être de les aider y compris en projetant des équipes – de une à trente personnes - sur le terrain. La première chose est de comprendre où ils sont en demandant les plans, l’architecture du réseau, les portes d’entrée sorties avec Internet. La deuxième activité sera de comprendre ce qui se passe, comment communiquent les pirates qui sont à l’intérieur, où sont les chevaux de Troie et connaitre leur fonctionnement. Bref, avoir une compréhension intime. »

 

Une fois cette étape effectuée, « on passe à la partie ‘violente’ de l’opération, au sens informatique du terme, où on va les « foutre dehors » après avoir tout coupé, nettoyé et resécuriser le réseau. »

 

La cellule situation et analyse va piloter toutes ces opérations, parfois menées sur le terrain. « Ici, l’ensemble des informations arrive. C’est ici qu’on fait une image globale du problème. Ce sont ces personnes qui vont également fournir des notes aux autorités. Dans la partie analyse, elle va aussi tenter de comprendre ce qui se passe, faire un travail de corrélation avec d’autres attaques déjà observées afin de rapprocher les attaques et anticiper, enfin, contextualiser cette attaque avec une vulnérabilité en cours ou parce qu’il y a tel évènement géopolitique ou économique, par exemple la négociation d’un marché par une entreprise déterminée ». À ce jour cependant, « sur l’Ukraine on n’a rien vu, mais nos opérations au Mali ont, elles, déclenché des attaques. »

Commentaires (30)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ils utilisent Linux et OpenStreetMap <img data-src=" />

votre avatar







jb18v a écrit :



Sacré boulot <img data-src=" /> et on peut espérer qu’au moins là bas ils ont des bécanes correctes <img data-src=" />





PIII, 192Mo de RAM et une Voodoo II <img data-src=" />





« L’an dernier, les équipes ont traité plus de 15 millions de signalements qui ont déclenché plus de 1 500 tickets d’incidents après qualification ».



ça veut dire qu’on les appelle 1000 fois pour le même problème ou que 14 998 500 signalements étaient des fausses alertes ?

Traiter un tel volume avec 500 gars (qui en plus ne sont pas tous dédiés à cette tâche) c’est impressionnant.


votre avatar







tAran a écrit :



Merci <img data-src=" />



Si j’avais eu les compétences requises, j’aurais postulé à un des postes, mais c’est pas le cas malheureusement..









Ce qui est surprenant c’est que beaucoup sont des CDD (3 ans) et pas des postes de plus longues durées. Vu le domaine et le coté sensible, je trouve ça plutôt curieux.





votre avatar







WereWindle a écrit :



PIII, 192Mo de RAM et une Voodoo II <img data-src=" />





<img data-src=" />


votre avatar







Adakite a écrit :



ssi.gouv.fr République Française+1


votre avatar

Les CDD c’est pour des questions légales. Étant donné les profils recherchés, ils vont pas organiser des concours mais faire du recrutement sur dossiers. Et les personnes recruté s ainsi ne peuvent que l’être comme contractuels.

3 ans étant la durée maximal d’un CDD de droit public (renouvelable pour un maximum de 6 ans).

Au boit de 6 ans, ils peuvent avoir un CDI de droit public et il existe également des passerelles pour devenir fonctionnaire titulaire.

votre avatar







WereWindle a écrit :



ça veut dire qu’on les appelle 1000 fois pour le même problème ou que 14 998 500 signalements étaient des fausses alertes ?

Traiter un tel volume avec 500 gars (qui en plus ne sont pas tous dédiés à cette tâche) c’est impressionnant.





sans doute beaucoup de doublons et beaucoup de fausses alertes.

faut aussi voir que le temps de qualifier un signalement en incident, il peut y avoir d’autres signalements qui arrivent… et en général l’utilisateur considère sa demande comme une priorité urgente et bloquante.



mais 15 millions ça me parait énorme. ça fait 50 000 signalements par jour, c’est juste hallucinant. à 500 dessus ça fait 100 demandes traitées par personne par jour, je me demande comment ils font.



je pencherais plutot sur 15 millions de signalements dont la partie traitée a généré 1500 tickets, mais pas 15 millions de signalement traités.

edit: à moins qu’il y ait une passe de traitement automatisé de signalements avant qu’un opérateur s’en occupe. là ça serait possible.


votre avatar







hellmut a écrit :



(sans doute beaucoup de doublons et beaucoup de fausses alertes.

faut aussi voir que le temps de qualifier un signalement en incident, il peut y avoir d’autres signalements qui arrivent… et en général l’utilisateur considère sa demande comme une priorité urgente et bloquante.





je fais du support, je valide cette dernière assertion (y compris quand l’incident en question a été défini comme “ça marche pas” - mon préféré - ou “Facebook veut pas s’ouvrir” - #2 dans le classement en terme de pertinence) <img data-src=" />







hellmut a écrit :



mais 15 millions ça me parait énorme. ça fait 50 000 signalements par jour, c’est juste hallucinant. à 500 dessus ça fait 100 demandes traitées par personne par jour, je me demande comment ils font.



je pencherais plutot sur 15 millions de signalements dont la partie traitée a généré 1500 tickets, mais pas 15 millions de signalement traités).





Pourtant, tel que c’est tourné dans la news c’est bel et bien 15M traités (donc qualifiés) <img data-src=" />



edit suite à l’edit : ce ne serait pas surprenant en effet.


votre avatar



L’ANSSI dispose de 25 sondes aux frontières des réseaux d’administration avec Internet dont la fonction est de détecter, sans regarder le contenu, s’il ne se passe pas des choses un peu curieuses qui seraient le signe d’attaque







Je suis le seul qui est surpris de pouvoir détecter sans regarder ?

votre avatar

Screenshot N°2 :



Le voyant vert est devenu rouge Chef, je fais quoi ?!



<img data-src=" />

votre avatar



Certains ont le métier de pompier afin de gérer les attaques informatiques.



J’allais demander quel est le rapport mais c’est expliqué en fin d’actualité.



Par contre je veux bien qu’on m’explique :



resécuriser le réseau



Le ’re’ me fait penser qu’au départ le réseau était déjà sécurisé.

Or il est dit qu’un cheval de Troie est actif.

Donc logiquement le but de la “resécurisation” serait de protéger le réseau contre des attaques du même type ?

votre avatar







bonizuka a écrit :



Je suis le seul qui est surpris de pouvoir détecter sans regarder ?





Non, tu peux ne pas regarder le contenu mais les meta-data. Par exemple, simplement : 



 - cet utilisateur recoit un gros courriel ()je ne sais pas ce qu'il y a dedans, je n'ai pas regardé)   


 - quinze minutes après, cet utilisateur génère un important traffic vers un site plus ou moins louche (par exemple), ou qu'il n'utilisait pas du tout avant.




C’est d’ailleurs l’exemple de l’article.



Autre exemple : cet autre utilisateur qui se met à uploader énormément d’informations, ce qui ne correspond pas à un usage “classique”.



J’ai bien détecté un comprtement bizarre sans regarder le contenu de ce qui est passé. En fait, les meta-data contiennent à elles-seulent pas mal d’informations.


votre avatar







pamputt a écrit :



Ils utilisent Linux et OpenStreetMap <img data-src=" />









Je confirme pour Linux. Un auditeur de chez eux était en audit dans l’entreprise ou je bosse ( en fait cet auditeur était entrain d’auditer l’auditeur qui nous auditait <img data-src=" /> ) et sur son portable il y’avait un linux tuné ANSSI qui était installé. C’était pas sexy d’ailleurs <img data-src=" />


votre avatar

C’est les admins réseaux de l’administration quoi <img data-src=" />

votre avatar







WereWindle a écrit :



je fais du support, je valide cette dernière assertion (y compris quand l’incident en question a été défini comme “ça marche pas” - mon préféré - ou “Facebook veut pas s’ouvrir” - #2 dans le classement en terme de pertinence) <img data-src=" />





<img data-src=" />

oui ben j’ai rien inventé hein, c’est pareil partout. ^^


votre avatar







bonizuka a écrit :



Je suis le seul qui est surpris de pouvoir détecter sans regarder ?







Sans trop m’avancer, c’est de l’analyse de tram, tu dois pouvoir détecter avec les bons outils des trames suspectes ou des entêtes modifiés etc.

Des modules sur tous les routeurs gros routeur permette ce genre de chose.



Ex : Cisco et son DPI, tu ne regardes pas vraiment le contenue des paquets en eux-mêmes, tu regardes ce qui le constitue, la taille des entêtes etc.

Après dû doit avoir des outils de stats sur la quantité de données qui passe sur tels tuyaux à tel moment, de là tu peux déterminer des cycles et donc éventuellement des attaques (changement des cycles de façons où moins prononcer



Fin bon, il n’y a pas beaucoup de détail de toutes façons sur la méthode employer


votre avatar

Quand on voit ce qu’on peut faire avec un Squid et un peu d’huile de méninges sa semble pas (trop) compliqué a mettre en place alors.



[troll assumé]

Et puis quand tu vois sur le screen #3 qu’il y avait France Info et Europe 1, tu sais que les mecs ont vulgariser au possible pour que tout les journalistes puisssent comprendre de quoi ils parlent.

[/troll assumé]

votre avatar







hellmut a écrit :



mais 15 millions ça me parait énorme. ça fait 50 000 signalements par jour, c’est juste hallucinant. à 500 dessus ça fait 100 demandes traitées par personne par jour, je me demande comment ils font.







Ils ont ete se faire former a l’Hadopi pour passer moins de 6 secondes par ticket avec 100% de resultats.. :p



(troll du vendredi)


votre avatar

anonymat des equipes : c’est bon <img data-src=" />




  • 1000

votre avatar







Adakite a écrit :



Ce qui est surprenant c’est que beaucoup sont des CDD (3 ans) et pas des postes de plus longues durées. Vu le domaine et le coté sensible, je trouve ça plutôt curieux.







Non c’est juste comme ça que ça fonctionne dans l’administration.


votre avatar







popi_le_clown a écrit :



Non, tu peux ne pas regarder le contenu mais les meta-data. Par exemple, simplement : 



 - cet utilisateur recoit un gros courriel ()je ne sais pas ce qu'il y a dedans, je n'ai pas regardé)   


 - quinze minutes après, cet utilisateur génère un important traffic vers un site plus ou moins louche (par exemple), ou qu'il n'utilisait pas du tout avant.




C’est d’ailleurs l’exemple de l’article.



Autre exemple : cet autre utilisateur qui se met à uploader énormément d’informations, ce qui ne correspond pas à un usage “classique”.



J’ai bien détecté un comprtement bizarre sans regarder le contenu de ce qui est passé. En fait, les meta-data contiennent à elles-seulent pas mal d’informations.







Si ce qui les intéressent c’est du traffic, ils n’ont même pas besoin de regarder si un mail ou autre.

Cette information n’est d’ailleurs pas une méta-donnée selon moi, pour l’avoir il faut commencer à analyser le contenu des paquets ip.


votre avatar







tAran a écrit :



J’aurais trop rêvé d’y travailler <img data-src=" />







Est-ce que tu as passé la première étape de l’entretien d’embauche, à savoir te raser la tête et y mettre un QR-Code ou pas ?!



<img data-src=" />



<img data-src=" />



votre avatar

Auteur du livre publié aux éditions La Découverte”L’affaire Snowden,comment les Etats-Unis écoutent le monde” j’écris également un blog sur l’actualité du domaine antoinelefebure.com

votre avatar

[mode my life]



J’ai suivi à l’automne 2009, une formation lourde au CFSSI (centre de formation de l’ANSSI). Le général Desvignes un ancien directeur de l’ANSSI (avant que ça change nom) était intervenu au cours de la formation. Pendant son cours, ils nous avait dit que l’HADOPI était une véritable connerie, car cela pousserait les utilisateurs vers d’autres solutions comme le chiffrement. Et si tout le monde passait au chiffré, il ne serait plus possible de distinguer Mme MICHU qui télécharge plus belle la vie du réseau de terroristes projetant des attentats.

[/mode my life]

votre avatar

En tout cas ils connaissent pas le kvm, les mecs ont un tas de clavier et souris <img data-src=" />

votre avatar







jmc_plus a écrit :



[mode my life]



J’ai suivi à l’automne 2009, une formation lourde au CFSSI (centre de formation de l’ANSSI). Le général Desvignes un ancien directeur de l’ANSSI (avant que ça change nom) était intervenu au cours de la formation. Pendant son cours, ils nous avait dit que l’HADOPI était une véritable connerie, car cela pousserait les utilisateurs vers d’autres solutions comme le chiffrement. Et si tout le monde passait au chiffré, il ne serait plus possible de distinguer Mme MICHU qui télécharge plus belle la vie du réseau de terroristes projetant des attentats.

[/mode my life]





Les comiques de la NSA font très bien la promotion nécessaire pour que l’on s’équipe de méthodes de chiffrement, non ? <img data-src=" />



J’ai plutôt l’impression que l’Hadopi a poussé au retour aux anciennes méthodes de partage de fichiers via le prêt de clefs USB et de disques durs.



Et maintenant, on peut facilement communiquer entre deux portables à quelques mètres de distance grâce au wifi ou au bluetooth et échanger de bons gros fichiers sans aucun contact physique voire sans même se connaître.. Impossible à détecter.


votre avatar

J’aurais trop rêvé d’y travailler <img data-src=" />

votre avatar







tAran a écrit :



J’aurais trop rêvé d’y travailler <img data-src=" />









ssi.gouv.fr République Française


votre avatar

Sacré boulot <img data-src=" /> et on peut espérer qu’au moins là bas ils ont des bécanes correctes <img data-src=" />

votre avatar







Adakite a écrit :



ssi.gouv.fr République FrançaiseMerci <img data-src=" />



Si j’avais eu les compétences requises, j’aurais postulé à un des postes, mais c’est pas le cas malheureusement..


Cybersécurité : dans les coulisses de l’ANSSI

  • La cellule de veille

  • Le centre de détection

  • 350 personnes en 2013, 500 en 2014

  • Le centre de situation et d'analyse

Fermer