La question du temps en cybersécurité
Il y a une chose qui le plus souvent n’est pas débattue, lorsqu’on parle de la cybersécurité.
Cette chose est le temps et cela est effectif. Quand on parle de temps, on peut faire allusion à plusieurs choses. Par exemple, au délai d’expiration d’un abonnement, de mot de passe, ou des services informatiques. Il y a aussi les intervalles des mises à jour et des audits de sécurité. La question du temps est vaste mais reste autant nécessaire car une mauvaise maîtrise du temps dans le domaine de la cybersécurité et de l’informatique en général, peut causer des énormes conséquences souvent Irréversibles. Stéphane Reytan, Spécialiste chez BlueTrusty le confirme le signifiait : « L’importance du temps en informatique Sans heure fiable, la plupart des systèmes informatiques vont défaillir : expiration de mots de passe, non validité erronée des certificats SSL (rendant la navigation sur Internet quasiment impossible), désynchronisation des clusters de calcul et de stockage, tâches planifiées lancées au mauvais moment ou pas du tout, gestion non fidèle de la rétention des sauvegardes et des logs… ».
Cet article va aussi vous intéresser : Lutte contre la cybermalveillance : les équipes de cybersécurité au soutien informatique
L’Agence Nationale de Sécurité des Systèmes d’Information (l’ANSSI), publiait en 2013 des recommandations sur le temps dans le domaine de l’informatique. Ces recommandations portaient essentiellement sur le système de journalisation, qui est d’ailleurs imposé aux entreprises en étant dans la catégorie des OPV (Opérateurs d’Importance Vitale et OSE (Opérateurs d’Importance Vitale et aux Opérateurs de Services Essentiels). La recommandation numéro 3 note ceci : « Les horloges des équipements doivent être synchronisées sur plusieurs sources de temps internes cohérentes entre elles. Ces sources pourront elles-mêmes être synchronisées sur plusieurs sources fiables externes, sauf pour les réseaux isolés. [..] il est important d’adopter une logique de configuration adéquate afin d’assurer une cohérence temporelle des journaux au niveau des serveurs de collecte ». En clair l’on peut observer que la gestion du temps répond à une cohérence nécessaire à la définition d’une politique de cybersécurité viable. Sans cela il serait difficile d’avoir une infrastructure qui fonctionne correctement.
Par ailleurs, vu que la majorité des systèmes revêtant un caractère communautaire, il n’est pas rare de voir que les identités de nombreux propriétaires soient méconnues ou ne sont pas établies tout simplement. Dans un tel contexte, si nous supposons qu’il est possible de disposer d’une source de confiance via Internet, le transport du temps est-il sécurisable ? Cette question est évidente car il serait difficile voire impossible de réaliser cela. A ce propos, parlant du NTP, le spécialiste de BlueTrusty notait ceci : « Pour les implémentations actuelles, les bonnes pratiques de sécurisation du flux NTP sont décrites dans la RFC 8633 [X] datée de Juillet 2019. La principale mesure de sécurité utilisée est l’authentification des messages via l’utilisation d’un secret partagé : une clé de chiffrement symétrique (MD5 traditionnellement, AES-128-CMAC plus récemment) pour signer les messages. Cette clé est statique et devrait être renouvelée périodiquement. ». Cependant, il ne manque pas de rappeler : « Malheureusement, il n’existe pas de mécanisme de gestion du cycle de vie de cette clé (distribution, expiration). Plus exactement, l’extension de sécurité au protocole NTP nommée AutoKey [Y], dont le but était d’automatiser le renouvellement des clés d’authentification, comporte des vulnérabilités critiques et doit donc être désactivée [W]. ».
Aujourd’hui, l’idée est de tout mettre en œuvre pour pallier au faille de sécurité sur ce aspect. En attente d’une approbation de l’IETF (L’Internet Engineering Task Force), l’organisme chargé d’élaborer et de promouvoir les standards internet, un mécanisme additionnel nouveau est en cours de développement. Ce mécanisme est la NTS pour « Network Time Security », une extension du NTPv4. Une avancée notable dans la sécurisation du temps sur les réseaux informatique. Même si cela ne suffira pas comme l’indique Stéphane Reytan : « NTS ne résoudra pas toutes les problématiques dans le cas de réseaux cloisonnés -donc sans accès à Internet- ou .bien de criticité de la disponibilité et de l’authentification du service de temps, contexte bien connu des OIV et OSE (…) Dans ce cas, la meilleure alternative reste de s’équiper de “boîtiers” NTP qui récupèrent le temps via les ondes radios (idéalement via le “signal horaire” [G]) ou par GPS (système extra-européen, à moins d’utiliser explicitement GALILEO [H]) et de le distribuer ensuite localement sur les réseaux IP via NTP (éventuellement avec l’usage de l’extension NTS). ».
Accédez maintenant à un nombre illimité de mot de passe :