• l’année dernière
FRnOG 38 - Philippe Langlois : 5G Stand Alone security, real 5G with real attack surface
#FRnOG #5G #network #cybersécurité #SSI
Transcription
00:00 Bonjour à toutes et tous, enchanté d'être là.
00:02 On va faire une petite update sur la 5G, mais pas la 5G que vous avez vendue à l'heure actuelle,
00:07 puisque ce que vous avez sur vos téléphones 5G à l'heure actuelle,
00:09 c'est finalement une extension du réseau 4G qui sert des antennes, des InnoDB ou GnodeB,
00:15 donc des antennes radio qui, elles, vont pousser de la 5G.
00:19 Mais en fait, c'est juste, on bénéficie juste de l'amélioration de vitesse
00:24 et pas réellement de tout ce que la 5G permet en termes de service.
00:29 Et du coup, ce que je vais essayer de vous présenter, c'est tous les services qui sont présentés.
00:33 Et qu'est-ce que ça veut dire en termes d'explosion de surface d'attaque ?
00:37 C'est-à-dire, en gros, est-ce que ça accroît énormément les endroits
00:40 où un attaquant peut essayer de compromettre l'infrastructure ?
00:44 Donc, bien évidemment, cette évolution, elle ne se fait pas en quelques jours,
00:49 puisque on se rend compte qu'adjoindre un élément radio à un réseau existant,
00:54 c'est déjà complexe.
00:56 Vous avez vu le nombre d'années qu'il a fallu pour qu'il y ait de la 5G non stand-alone,
01:01 c'est-à-dire calée sur un réseau 4G.
01:03 Et d'un point de vue, maintenant, d'un réseau stand-alone,
01:07 c'est-à-dire d'un réseau qui est complètement 5G,
01:09 avec des services 5G délivrés par le cœur réseau,
01:12 et un réseau d'accès radio qui n'est plus que 5G,
01:16 qui existera en parallèle du réseau 4G,
01:18 là, en gros, on est encore assez loin de déploiements où les opérateurs sont en quiétude.
01:25 C'est-à-dire qu'il y a leur département marketing qui leur dit "ok, ça release le temps",
01:29 et eux, quelque part, ils sont tous en train de hurler sur "est-ce qu'on arrive à donner la fonctionnalité ?"
01:35 Oui, à peu près.
01:36 Est-ce qu'on arrive à le faire avec un bon niveau de confiance dans notre sécurité ?
01:40 Là, on voit des gens qui pleurent.
01:41 Donc, grosso modo, la 5G avec un cœur 5G, qu'est-ce que ça veut dire ?
01:46 Déjà, il y a une des grosses fonctionnalités que la 5G stand-alone...
01:53 Oui, je remonte un peu.
01:54 ...que la 5G stand-alone permet d'avoir, c'est ce qu'on appelle le "slicing".
01:57 Le slicing, c'est la réservation de ressources du début,
02:02 c'est-à-dire au niveau radio, dans le spectre, on peut dire,
02:04 on vous dédie en tant que vous, je ne sais pas,
02:07 moi, ministère de la Défense ou ministère de l'Intérieur,
02:10 au lieu d'avoir un réseau TETRA indépendant,
02:13 pour info, qui vient de se faire casser il y a à peu près un mois,
02:16 au niveau quasiment de toutes les implémentations TETRA.
02:20 Donc, du coup, il y a un push assez important vers,
02:23 on va utiliser de la crypto, de la techno,
02:26 qui semble être adoptée par beaucoup de gens et testée par beaucoup de gens.
02:31 Ce n'est pas un truc exotique.
02:33 Donc, en gros, le slicing va permettre d'avoir une tranche du réseau 5G
02:39 complètement réservée pour, par exemple, le ministère de l'Intérieur
02:42 ou, par exemple, pour une boîte du CAC 40 qui a assez de cash pour dire,
02:46 moi, j'ai besoin d'avoir de la garantie.
02:50 En parallèle de ça, on va avoir, du coup, le fait que toutes les fonctions réseau
02:55 qui gèrent la mobilité, etc.,
02:57 et bien, fondamentalement, on peut se retrouver avec ces fonctions réseau
03:00 qui peuvent appartenir en partie à l'entreprise qui paye l'opérateur.
03:06 Donc, ça veut dire qu'on a des cœurs qui deviennent hybrides
03:09 où il y a une partie des fonctionnalités qui sont, pour une slice, par exemple,
03:13 réellement opérées par l'entreprise.
03:17 Donc, ça permet des choses assez exotiques en termes d'application
03:20 où on n'est pas simplement sur des serveurs extérieurs sur Internet
03:24 qui vont permettre de faire une application particulière,
03:26 mais on va carrément influencer le comportement du réseau.
03:30 Et enfin, il y a quelque chose qui va peut-être vous parler plus,
03:35 c'est le fait qu'on a besoin de latence assez faible sur certaines applications.
03:40 Donc, en gros, il y a une grosse idée qui s'appelle Edge Computing.
03:43 Et en gros, l'idée, c'est d'avoir du computing qui se fait dans l'antenne radio.
03:49 Alors, ça, c'est quelque chose qui, en termes de surface d'attaque,
03:54 dit qu'il y a en gros des containers et des VM
03:56 qui tournent directement très près de l'antenne radio,
03:59 donc assez à l'intérieur de l'infrastructure de l'opérateur.
04:02 Vous imaginez bien qu'en termes de surface d'attaque,
04:06 on est en train de parler de surface d'attaque externe.
04:09 Il y en a deux qui sont évidentes.
04:11 Il y en a une qui est par Internet.
04:13 Il y en a une autre qui est sur la surface d'attaque radio.
04:16 Mais en plus, on a de nouvelles surfaces d'attaque qui sont,
04:21 par exemple, le fait que le réseau 5G essaye de devenir homogène
04:26 pour tous les périmètres de fourniture d'accès.
04:29 Donc, en gros, l'accès Wi-Fi, des accès IoT, des accès même fibre
04:35 passerait par le cœur 5G.
04:37 L'idée et le rêve, c'est qu'il y ait des designers de services
04:41 qui ont un truc graphique en phase 2 et ils disent
04:44 "je veux que tous les clients de mon opérateur aient accès
04:48 à tous ces services intégrés sans besoin de s'authentifier
04:51 avec l'authentification immédiate, etc."
04:53 Ça veut dire que, grosso modo, on va avoir une surface d'attaque radio
04:58 sur la 5G, mais une surface d'attaque aussi sur plein d'autres méthodes
05:01 d'accès, y compris Wi-Fi, y compris fibre, y compris whatever.
05:05 En plus, en interne, comme on a dit, par exemple,
05:08 certaines fonctions réseau vont être accessibles ou managées
05:13 par des entreprises externes.
05:15 Fondamentalement, ça veut dire qu'il y a des entreprises externes
05:17 qui vont avoir un accès sur le cœur, qui vont même avoir des fonctions
05:20 qui tournent dans le cœur, qui vont même propager des workloads,
05:24 des VM, des containers vers le Edge, c'est-à-dire le réseau d'accès
05:28 radio, ce qu'on appelle le RAN, et qui vont du coup avoir
05:32 quelque chose qui tourne, qui prend de l'input par la radio,
05:36 mais qui aussi est connecté au cloud et à Internet.
05:39 Donc ça fait, je dirais pour un test-bed, déjà, on voit quand même
05:44 une certaine complexité.
05:45 Et en fait, la réalité, c'est qu'on est plus proche de quelque
05:48 chose comme ça dans un réseau de prod, sachant que chaque boîte,
05:52 c'est pas un serveur.
05:53 Chaque boîte, c'est des centaines ou des milliers de containers
05:57 qui tournent dans en gros, deux à cinq clusters Kubernetes.
06:03 Donc, on est vraiment sur un truc gros.
06:06 Et là, je parle même pas encore de réseau, on a fait la
06:08 désagrégation, c'est un mot-clé, j'ai l'impression.
06:10 Donc, il y a du bingo, il faut préparer vos cartes de bingo.
06:13 Il y a beaucoup de mots-clés qui ressortent.
06:16 La désagrégation du RAN, on n'y est même pas encore.
06:19 Quand ça va arriver, on va avoir à nouveau plein de clusters
06:23 dans le réseau d'accès radio.
06:24 Donc, ces petites frontières internes, elles vont devoir être
06:29 extrêmement augmentées pour envoyer tous ces nouveaux services.
06:34 Alors, si on rentre dans ensuite le trou de lapin, dans le terrier,
06:40 on prend n'importe laquelle de ces network functions et on dit
06:44 "OK, qu'est-ce que c'est à l'intérieur ?"
06:46 Ça aussi, ça a de la "tact surface", c'est connecté à plein
06:49 de réseaux différents.
06:50 Donc, une de ces boîtes, là on a choisi de prendre une boîte
06:55 type AMF/SMF.
06:56 En gros, ce que ça fait, c'est que ça gère les requêtes
06:58 entrantes pour quelqu'un qui veut se connecter au réseau
07:01 5G et ça gère en gros l'établissement des chemins de données
07:06 vers Internet ou vers le réseau Target et ça gère la communication
07:10 avec les fonctions d'authentification, etc.
07:12 Donc, c'est "access function" et "session function".
07:16 Ce qui est intéressant, quand on rentre là-dedans, on se rend compte
07:20 que cette petite boîte, c'est réellement plein de fonctions qui
07:25 vont être très souvent que virtuelles, mais qui vont être
07:29 très souvent que virtuelles, mais parfois assez physiques.
07:33 Alors, assez physique, c'est dès qu'on touche à "user plane",
07:37 c'est-à-dire en gros, on touche à ce qu'on appelle l'UPF,
07:40 "user plane function".
07:41 C'est ça qui dépote du paquet client vers les différents réseaux
07:45 à destination.
07:46 Et là, on est dans le domaine physique.
07:48 Le standard, c'est du 400 gigabits avec des extensions un peu rigolotes
07:53 parce que comme on a du slicing qui doit garantir de la qualité
07:56 de service, y compris au niveau réseau très bas,
07:59 on a des extensions au niveau du réseau de "slicing packet network"
08:03 comme "flexe" qui a utilisé du "flexe" ici sur Internet.
08:07 Ouais, une personne, je crois que c'est ça.
08:10 "Flexe" permet grosso modo de mettre du "time slot", en gros,
08:14 une fonction un peu orientée TDMA pour garantir au niveau réseau,
08:18 au niveau très bas niveau, des choses, la garantie de QoS.
08:23 Donc, on est sur des choses qui sont très exotiques du côté "user
08:29 main" et réseau et sur des choses qui deviennent aussi très exotiques,
08:33 mais du côté applicatif.
08:34 Parce que si on monte dans les couches, on voit que ça tourne sur
08:37 du Kubernetes, que ça utilise des accélérations réseau,
08:40 qu'il y a de l'orchestration dans tous les sens avec très souvent
08:44 des composants qui vont être très anciens, ce qu'on appelle le "legacy",
08:48 intégrés dans quelque chose qui est, je dirais, qui ressemble à du
08:53 récent.
08:54 Donc, technologie CNCF, du Kubernetes, etc.
08:57 Des clusters Kafka avec du Pub/Sub dans tous les sens.
09:01 Donc, c'est très étrange parce qu'on a eu très vieux qui côtoie du
09:05 très jeune.
09:06 Et chez les pentesters, nous, on cherche quelque chose au
09:09 niveau sécurité, c'est on cherche la "rootite".
09:12 Vous savez ce que c'est ?
09:13 C'est un minéral rare qui nous donne route sur les systèmes.
09:16 Et du coup, dès qu'on sent un système, il faut qu'on déjà voie de
09:20 quoi il est composé.
09:21 La plupart du temps, c'est le "legacy" qui nous donne les vieilles
09:23 technologies qui donne malheureusement les escalations de privilèges,
09:29 mais aussi la complexité des systèmes et des "designs".
09:33 Sachant que là, c'est une complexité d'un système, une "network
09:36 function".
09:37 Donc là, en gros, j'ai du "legacy", j'ai de la complexité.
09:42 Au niveau attaquant, c'est très agréable parce qu'on a plein de
09:47 surfaces d'attaque.
09:48 Et si vous voyez cette petite "network function" composée de tout ça,
09:53 elle interagit sur un grand nombre d'interfaces avec un grand nombre
10:00 de différentes fonctions, autres.
10:02 Donc ça veut dire que c'est super exposé, super connecté.
10:06 Aussi, il y a certaines fonctions, par exemple les fonctions "LI",
10:11 "Lawful Interception",
10:13 grosso modo, c'est ce qui permet à la police judiciaire de faire
10:15 de l'interception légale quand il y a un criminel qui utilise ou quoi
10:20 que ce soit, un sujet d'enquête qui est ouvert, qui sont difficilement
10:26 auditables parce qu'en gros, les gouvernements disent "oula,
10:29 touchez pas à ça".
10:30 Et du coup, l'opérateur ne l'audite pas.
10:32 Et du coup, ça se retrouve être le truc le plus sensible qui est aussi
10:35 le plus vulnérable.
10:36 Bien sûr, il y a des pays qui font assez attention.
10:40 Mais le problème, c'est qui investit dans la sécurité ?
10:43 On verra que sur les conséquences de sécurité, ceux qui investissent
10:46 dedans, ils se retrouvent très, très bien puisque les technologies,
10:49 toutes les cloud native technologies, ça sécurise.
10:51 Mais par contre, ceux qui n'investissent pas dedans, ils ont un truc qui a
10:55 énormément grossi, qui a encore plus de surface d'attaque, qui a encore
10:58 plus de complexité.
10:59 Et puis, tu as regardé toi ?
11:01 Non, je n'ai pas le temps.
11:02 Voilà, donc moins sécure.
11:03 Donc, qu'est ce que ça donne au niveau sécurité ?
11:07 Grosso modo, on est sur du Linux de fond en comble, mais avec des
11:11 accélérations pour les parties qui traitent de médias utilisateurs
11:17 assez intéressantes.
11:18 Je dirais même les accélérations, la plupart du temps, c'est pour le
11:22 début des premières versions des produits qu'on va vraiment sur du
11:27 déploiement et du réseau intense.
11:29 Généralement, ça passe sur du hardware un peu dédié, mais avec
11:36 des technologies qu'on voit qui, fondamentalement, sont assez connues
11:42 comme du VPP, des PDK et compagnie.
11:45 Du côté des fonctions réseau, il y a peu de slicing encore à l'heure
11:52 actuelle, même si ça peut avoir des intérêts assez importants pour
11:55 la sécurité.
11:56 Par contre, ce qu'on voit, c'est qu'on a commencé à avoir une amélioration
12:01 des connaissances sécurité chez les opérateurs et ils se disent,
12:04 la signalisation entre les différentes fonctions réseau, c'est peut-être
12:08 logique de le chiffrer.
12:10 Et du coup, ils commencent à mettre du MTLS.
12:12 Mais on n'a pas encore passé le cap, parce qu'il y a une grosse
12:15 complexité, à déployer de l'authentification de chacune des
12:19 network functions indépendantes.
12:20 Parce que, bien sûr, ça fait un déploiement OAuth énorme ou une
12:24 PKI assez importante.
12:26 Et très souvent, on voit des solutions qui sont avec un certificat
12:30 qui n'est pas forcément hard codé, des fois qu'il l'est, mais de
12:32 moins en moins.
12:33 Et ce certificat, il est utilisé pour tout le cluster.
12:37 Donc, on casse, on pénètre une network function, on chope le
12:41 certificat, on accepte.
12:43 Donc, la partie Crypto Security Management, dont on parlait, Paul,
12:47 auparavant, c'est quelque chose qui est assez important dans ce type
12:51 de déploiement.
12:52 Ensuite, au niveau des exemples de vulnérabilité, ce qui est rigolo,
12:58 c'est que très souvent, on a des choses un peu cachées, qu'on ne
13:01 nous dit pas trop.
13:02 Et puis, en fait, on décortique et on décapsule le trafic réseau.
13:06 On fait, attends, dans ce trafic ECPRI, qui est censé être quelque
13:10 chose de boring et que des IQ réseau, que du signaling radio.
13:14 En fait, on se rend compte qu'il y a carrément un canal IP qui a été
13:18 encapsulé dedans.
13:19 Donc, ça veut dire que si on arrive à faire du man in the middle
13:22 entre le haut de l'antenne et la base station qui est dans le petit
13:26 cabinet en bas, on peut très bien arriver à compromettre l'IP,
13:30 à compromettre l'antenne radio, ce qu'on appelle le GNodeB ou le
13:34 BBU, et puis ensuite se propager vers le corps, vers le coeur réseau.
13:40 Donc, ça veut dire qu'on l'a fait, on rentre physiquement dans un shelter.
13:47 Des fois, il y a des gars qui se pointent, tu as l'opérateur qui
13:49 font "ah ouais, non, ok, t'es en train de faire quelque chose.
13:52 Je croyais qu'il y avait quelqu'un qui était en train de voler du cuivre".
13:54 Voilà, c'est ça le niveau.
13:56 Donc, en fait, dans le modèle de menace, à la limite, tu dis bonjour,
14:02 t'as un laptop, pas de problème.
14:03 C'est ça.
14:04 On est à ce niveau-là encore.
14:06 Donc, le niveau physique est quand même réel.
14:09 Et au niveau infrastructure fixe, ce qui est peut-être plus votre
14:12 day to day, quelque part, on est sur la même chose.
14:14 Les street cabinets pour de la fibre ou de la DSL, des fois, c'est open bar.
14:21 Ensuite, au niveau infrastructure, OpenStack est en train de se casser
14:27 gentiment la figure.
14:28 On le voit de moins en moins, et c'est bien évidemment remplacé
14:31 par principalement du Kubernetes.
14:32 Mais on a des conseillers de la Réaction de Sécurité, des fois assez
14:35 rigolotes, qui disent "oui, Kubernetes, pas de problème, mais moi,
14:39 pour vos infrastructures critiques, comme il y a de l'interception
14:42 légale dans telle fonction réseau, je veux un cluster dédié pour cette
14:47 fonction réseau".
14:48 Donc, t'es en train de dire "attends, je suis en train de monter
14:50 les infrastructures Kubernetes pour mutualiser, pas avoir de CPU idle,
14:54 avoir un truc fluide, et on me demande de re-segmenter le truc parce
14:58 qu'il y a des parties qui font de l'interception et on ne veut pas
15:01 que ça se mélange avec le reste".
15:02 OK.
15:03 Donc, il y a des choses, des fois, un peu particulières.
15:07 Là-dedans, au niveau infrastructure, ce qu'on voit, c'est qu'on a
15:09 encore beaucoup de legacy avec des choses hard-coded, beaucoup
15:14 de capacités d'abuser des misconfiguration, mais aussi la
15:19 signalisation à l'intérieur des fonctions réseau, c'est-à-dire
15:22 comment les fonctions réseau et network functions se parlent entre
15:25 elles avec un dialogue qui est très 5G.
15:27 C'est certes du HTTP/2, voire HTTP/3 dans le futur, mais ce n'est
15:35 pas une web app standard.
15:37 Eh bien, là, on voit qu'on est capable des fois d'attaquer et de
15:41 faire crasher, prendre le contrôle et de bypasser les access
15:44 contrôles depuis l'intérieur du cœur ou en tant que partenaire.
15:48 Mais aussi, on peut interagir avec ce cœur depuis la radio.
15:53 Et la quantité d'infos qui est maintenant échangée avec votre
15:59 handset, votre téléphone mobile, est incroyable.
16:02 Là, il y a des tailles, ce qu'on appelle les SIB.
16:06 Donc, en gros, les informations système sur le réseau, on commence
16:10 à vraiment taper dans une quantité de données échangées avec le
16:15 téléphone portable avant même qu'il ait accès à Internet.
16:18 Ce qui veut dire qu'on a une surface d'attaque rien qu'au niveau
16:20 de cette signalisation qui est assez importante.
16:22 Et enfin, on a la partie, je dirais, le fonctionnement des abonnés.
16:31 Alors, de ce côté là, il y a des bonnes nouvelles.
16:34 Je vais en parler, mais on a protégé de plus en plus les abonnés
16:38 sur certains types d'attaques.
16:39 Donc ça, c'est quand même pas mal.
16:41 Une des premières choses ici, c'est pour protéger les abonnés.
16:44 C'est ce qu'on appelle le concealed identifier.
16:47 Donc, ça veut dire qu'on essaye de ne plus balancer les identifiants
16:51 de nos abonnés quand ils rôment à l'étranger, quand ils sont sur
16:55 des base stations, pour faire en sorte qu'en gros, on puisse moins
17:00 les traquer, on puisse moins faire de la géolocalisation, on puisse
17:03 moins faire d'interceptions.
17:05 Alors ça, c'est plutôt pas mal.
17:06 C'est dans le côté positif.
17:07 Mais on va voir qu'en général, le côté positif s'est un peu amélioré,
17:14 mais le côté négatif a vraiment été amplifié énormément pour
17:20 l'opérateur moyen, ce qu'on appelle les tiers 2, tiers 3.
17:23 Grosso modo, c'est garanti, on va être plus vulnérable.
17:27 Et par contre, pour le tier 1, qui est capable de tordre le bras
17:31 à Nokia ou Ericsson, alors on a fait quasiment tous les vendeurs,
17:35 on a fait du test d'intrusion et du reverse engineering sur quasiment
17:37 tous les vendeurs.
17:38 Grosso modo, on voit que quand on parle à un grand groupe, ce grand
17:44 groupe dit non, mais vous me fixez ça et ils arrivent à avoir leur patch.
17:47 Quand on parle à un petit opérateur, le petit opérateur, il dit qu'est
17:51 ce que je vais dire à Nokia ou Ericsson, ou Huawei, ou ZTE ?
17:54 C'est à dire que grosso modo, ils n'ont pas les moyens pour obtenir,
18:00 par exemple, d'avoir un XDR dans l'image de base des network
18:07 function ou de faire certaines fonctionnalités de gestion
18:11 sécurisée, sécurité pour mieux gérer les certificats, par exemple.
18:14 Donc, on est vraiment sur une sorte d'inégalité entre ceux qui vont
18:19 bosser sur leur sécu et ceux qui ne vont pas pouvoir.
18:24 On a aussi, donc là, c'est vraiment un problème aussi d'upstream
18:30 chez les vendeurs.
18:31 Le boulot des vendeurs n'est pas simple.
18:33 C'est à dire que comme ils ont pris énormément de techno CNCF,
18:37 Open RAN, One App, donc des techno de open source, ça veut dire que
18:42 le jour où il y a un commit, moi je sais s'il y a une vulnérabilité
18:45 ou pas.
18:46 Et si je sais ça, vous pouvez imaginer qu'il y a pas mal d'attaquants
18:50 pour la fraude, mais aussi des IPT, d'attaquants pour le renseignement
18:55 d'autres États qui le sait.
18:57 Et ça, c'est un impact important.
18:59 Je pense que personne n'a échappé quand on accueille les JO en 2024.
19:04 Clairement, c'est des gros target pour ces groupes d'attaques qui
19:09 regardent qu'est ce qui est mis dans quel vendeur.
19:13 Donc, un tel vendeur, il utilise Kubernetes, mais il a une version
19:19 .16 qui lag un peu.
19:21 Là, il y a telle vulnérabilité, je pourrais l'utiliser dès qu'il
19:24 est live.
19:25 Donc, ils préparent leurs attaques largement à l'avance.
19:28 Puis une fois que c'est live, là, ils ont déjà leur chaîne,
19:30 ce qu'on appelle une kill chain.
19:32 Ils ont déjà leur chaîne d'attaque pour dire si tout s'exécute,
19:35 dans 13 secondes, je suis route sur le HLS.
19:38 Maintenant, c'est un nouveau nom, mais en gros, sur la base des
19:41 abonnés.
19:44 Et quand même, on est face aussi à une vieille manière de fonctionner.
19:50 Ils ne respectent pas ce qu'on appelle le rule of two security.
19:52 Donc, le rule of two, c'est que tu peux coder dans un langage qui
19:56 est mémory unsafe, genre du C, du C++, ou tu peux binder sur une
20:01 socket et écouter du trafic réseau.
20:03 Mais s'il te plaît, pas les deux en même temps.
20:04 Donc, en gros, si tu reçois du trafic abonné, essaye de le faire
20:09 en Go, en Rust, en Java, si tu utilises pas de mauvaise libre,
20:12 en gros, dans des trucs qui ne sont pas trop exploitables facilement.
20:17 Et du coup, les vendeurs, en devant faire leur supply chain
20:23 risk management, on utilise des gros mots, CRM, en faisant leur
20:28 leur product security, ils se retrouvent face à un challenge énorme.
20:34 On leur a vendu, on veut utiliser plein de techno open source.
20:37 Du coup, ça va nous faire des grosses économies.
20:39 Puis, ils se retrouvent à devoir faire le management.
20:41 Ah oui, il n'y a pas de dîner gratos, à un moment, il faut s'y mettre.
20:45 En plus, les vendeurs ne sont pas forcément très fans de bosser
20:52 avec les communautés de la sécurité.
20:54 Je m'appelle Erickson, t'es qui toi ?
20:56 T'es une boîte de 35 personnes ?
20:59 Grosse blague.
21:01 Et c'est un peu ça le problème, il y a une sorte d'arrogance entre
21:03 gros players qui ne comprennent pas, qui jouent contre leurs intérêts
21:09 quand même, parce que ça bloque l'avancée de la sécurité et
21:12 l'avancée de l'innovation en général dans leur écosystème.
21:16 Donc, en fait, j'aurais dû parler de ça sur ce slide.
21:20 L'autre truc qu'on voit, c'est que comme les opérateurs se sont rendus
21:25 compte qu'ils devenaient des tubes simples et bêtes, c'est le dumb pipe
21:29 problème, ils se sont dit, il faut quand même qu'on continue à avancer,
21:35 à proposer des choses.
21:37 Donc on a vu par exemple, c'était Verizon qui a fait une annonce
21:42 avec AWS où ils ont déjà du mobile edge computing qui peut fonctionner.
21:47 Donc vous allez demain sur votre console AWS et vous pouvez
21:51 directement provisionner des payloads, donc des workloads,
21:54 directement, je crois que c'est une micro VM, dans des zones qui sont
21:58 effectivement des zones très très près, à quelques millisecondes,
22:01 quelques nanosecondes même, des abonnés.
22:04 Et ça, ça mélange une infrastructure physique, du software qui tourne
22:09 réellement chez l'opérateur et puis des accès cloud.
22:11 Et ce que ça veut dire aussi, c'est qu'on a une technologie qui est
22:14 très susceptible à la fiabilité de toutes ces couches qui sont entre
22:19 tous ces composants.
22:20 Et grosso modo, ça veut dire qu'on a une surface d'attaque qui devient
22:25 encore plus profonde parce que du coup, il y a des tubes qui rentrent
22:28 profondément dans l'opérateur.
22:29 Et là, la technologie actuelle qui serait bien à utiliser pour ça,
22:33 c'est du Zero Trust, pour dire que toute l'infrastructure de AWS,
22:39 chacune, chacun des nodes va être en Zero Trust, va avoir une identité
22:43 propre pour accéder à la partie opérateur.
22:46 Malheureusement, que ce soit du côté vendeur ou même des fois du côté
22:50 opérateur, il n'y a pas forcément cette maturité et cette appétence
22:53 technologique.
22:54 Donc du coup, il se retrouve avec des problématiques tout à fait
22:57 actuelles, mais pas du tout la capacité sécuritaire de dire "on prend ça,
23:02 ça marche, c'est efficace".
23:04 Et enfin, le dernier point, quand je parlais de, par exemple,
23:08 je veux un cluster par network function, ce qui devient un peu idiot,
23:12 c'est vraiment la rencontre d'une logique très cloud, où on mutualise,
23:17 tout le monde est sympa, positif, on va vers des choses constructives.
23:21 Et puis, des agences de sécurité nationale qui ont des vrais
23:25 questionnements et des vraies preuves que ces questionnements sont
23:28 importants avec de l'APT, des groupes d'attaque très puissants et très
23:34 forts qui essayent de rentrer.
23:37 Et du coup, il y a des questions de souveraineté qui se posent,
23:41 qui font que ce qu'on design en testbed chez l'opérateur,
23:46 fondamentalement, on a énormément de travail à faire pour faire en
23:50 sorte que ça puisse passer en prod, parce que le régulateur de sécurité
23:55 nous dit "non, non, mais attend, vous retournez voir vos gars de sécurité,
23:58 ils ont les preuves, ils vous ont montré, ils vous ont même fait
24:01 des trainings et certifiés, vous connaissez, donc vous devez arriver
24:04 à une meilleure sécurité".
24:05 Sauf que si le vendeur derrière n'est pas coopératif, grosso modo,
24:09 la release, elle ne sort pas du testbed et elle ne va pas en prod.
24:12 Quand je parle de release, c'est release technologique,
24:14 genre 5G, c'est un de j'aurais.
24:16 Donc, en conclusion, ça va, je suis dans les temps ?
24:23 On est sur une compromission du réseau 5G qui est toujours faisable,
24:28 qui est faisable de plusieurs perspectives.
24:34 Et plus on active les fonctions d'un cœur 5G stand alone, donc réel,
24:42 plus on va avoir de capacités et d'accès sur ces surfaces d'attaque,
24:48 plus on va avoir d'attaque surface.
24:50 Et encore, on n'est pas encore avec de l'open RAN la plupart du temps,
24:53 on n'est pas encore avec du edge computing la plupart du temps.
24:56 Donc ça veut dire que...
24:57 Et en plus, ceux qui déploient à l'heure actuelle,
24:59 c'est plutôt les gros opérateurs.
25:00 Donc on est quand même dans une situation qui devrait être plus idéale.
25:04 Mais c'est malheureusement pas ce qu'on constate lors des audits.
25:08 L'autre truc, c'est que fondamentalement, le risque de supply chain,
25:13 donc en gros d'avoir du package open source ou du développement
25:17 qui n'est pas mis à jour par le vendeur,
25:20 on a un risque qui est très grand
25:22 et sur lesquels les attaquants ont maintenant une connaissance assez profonde.
25:26 À la limite, un attaquant peut ne pas savoir ce qu'il y a chez Ericsson
25:30 comme type de code,
25:31 mais par contre, il sait très bien ce qu'il y a dans Kubernetes.
25:33 Enfin, cette complexité liée à toutes ces technologies CNCF et autres,
25:39 eh bien, grosso modo, ça veut dire que la complexité génère une surface d'attaque
25:44 qui génère des vulnérabilités, qui génère des compromissions.
25:48 Je dirais les deux derniers points qui sont vraiment assez importants,
25:52 c'est de dire qu'on a une complexité de travail
25:57 pour donner des résultats de compliance,
26:00 dire c'est bon, c'est sécurisé,
26:01 qui est assez importante, qui nous pousse à de l'automatisation.
26:04 C'est assez logique de ce côté-là,
26:06 mais qui doit aussi prendre en compte cette notion de menace,
26:09 ce côté threat-centric.
26:10 C'est-à-dire que là, de ce côté-là,
26:12 ce n'est pas suffisant d'auditer et monitorer une infrastructure 5G,
26:17 d'entrer le jeu, il faut établir une baseline
26:19 et il faut faire ce qu'on appelle la deceptive security.
26:21 C'est quoi la deceptive security ?
26:23 Vous connaissez les honeypots, c'est-à-dire on met des pièges.
26:25 Je sais que si j'attaquais cette infrastructure, moi je ferais ça,
26:29 donc l'attaquant va peut-être le faire,
26:32 donc je lui mets un piège, s'il le fait, je le détecte.
26:34 C'est quoi l'intérêt de ça ?
26:35 C'est que parmi toutes les alertes, quand on a une de ces alertes,
26:40 un de ces honeypots qui est déclenché,
26:42 on est à peu près sûr qu'il y a quelqu'un qui est malicieux.
26:45 Et du coup, ça, couplé avec des petites choses assez intéressantes
26:47 du côté pen test pour ne pas avoir d'efforts positifs,
26:51 ça permet vraiment d'avoir un niveau de détection
26:57 qui rend le travail de l'attaquant, y compris service de renseignement
27:00 avec des gros moyens, très très difficile.
27:02 Le dernier point, c'est qu'on se dit, bon, ça concerne en France,
27:06 grosso modo, Orange, SFR, Bouygues, Free, that's it.
27:10 En fait, ça, c'est complètement faux.
27:13 Le fait est que maintenant, il y a plein de grosses industries
27:15 qui se disent, si moi, je veux mieux avancer dans des choses
27:20 comme le mining, l'industrie 4.0, etc.
27:23 Il faut qu'au lieu de recaler mes process et recaler ma production
27:27 jour par jour, il faut que je la recale heure par heure
27:30 pour avoir un edge compétitif.
27:31 Et grosso modo, pour être compétitif face à la Chine, par exemple,
27:35 il faut avoir vraiment un niveau d'automatisation
27:37 et donc de sensor ultra élevé.
27:40 Et ils ont fait des déploiements avec du Wi-Fi, avec du filaire,
27:43 et ils font, wow, ok, c'est pas possible, on n'y arrive pas.
27:45 Il y a beaucoup trop de déconnexions, beaucoup trop de perturbations.
27:48 Ils se disent, attends, la 5G, c'est intéressant, ça.
27:50 Est-ce que je peux l'utiliser ?
27:51 Et du coup, on voit qu'il y a beaucoup d'industriels
27:55 qui vont déployer de la private 5G et déploient à l'heure actuelle
27:59 de la private 4G.
28:00 Et ce que ça veut dire, c'est qu'en gros, en France,
28:02 on ne va pas avoir quatre opérateurs.
28:03 On va en avoir plutôt 40 à 400 très rapidement.
28:07 Et puis, on va très, très rapidement aller vers quelques milliers.
28:10 Et là, on voit qu'on a multiplié notre problème.
28:14 Vous voyez tous les réseaux ?
28:15 J'avais un slide de complexité, je crois que je n'ai pas le temps,
28:18 mais j'avais plein de back-up slides,
28:20 il y en a un qui est assez rigolo, qui montre qu'en gros,
28:22 en termes de posture sécurité, un réseau, pour les moins compliqués,
28:27 c'est 6 000 arrangements différents.
28:29 Pour les plus compliqués, c'est jusqu'à 20 millions
28:32 d'arrangements sécurité différents.
28:33 Donc, bien sûr, on est dans l'automatisation des audits,
28:36 pas de problème.
28:37 Mais aussi, on se dit que ça, on va avoir à le faire sur,
28:40 grosso modo, 40 à 400 micro-opérateurs en France.
28:44 Voilà, ça, c'est le dernier point qui est vraiment un truc où il faut
28:47 vraiment se rendre compte qu'on n'est plus en train de parler
28:49 des réseaux mobiles tels qu'on les consevait il y a encore,
28:51 ne serait-ce que cinq, dix ans.
28:52 Merci beaucoup.
28:54 Est-ce qu'il y a une question ?
29:06 Ouais, tout là-bas.
29:07 Allez, on en prend une.
29:08 On est un peu à la bourre.
29:11 Bonjour, Grégory, quoi et vous ?
29:19 Merci beaucoup, c'était vraiment super intéressant.
29:21 Je voulais réagir sur un point où tu disais que tu voyais
29:23 qu'OpenStack était en déperdition et j'étais curieux de savoir
29:28 qu'est-ce que les gens utilisaient pour déployer leurs containers
29:31 et déployer les solutions ?
29:33 Alors, d'une manière assez étonnante, il y a beaucoup de bare metal,
29:36 donc serveurs physiques, on rack et puis on déploie du Kubernetes
29:40 là-dessus, donc avec finalement des technologies, des fois,
29:43 Terraform plus sensible pour le bootstrapping,
29:46 vraiment du très standard, mais très peu, comment je pourrais dire,
29:50 très peu liquide.
29:51 Et on voit encore aussi du OpenStack qui supporte du Kubernetes,
29:58 mais comme on est en avance de phase, puisqu'on est principalement
30:02 sur les testbeds, on voit peut-être pas ce qui sera déployé pour scale
30:05 du côté des réseaux de prod.
30:06 Je sais pas si ça répond à ta question.
30:08 Et donc, je pense que c'est ça la root cause de ce côté-là.
30:12 Maintenant, même pour les réseaux de prod, il y a eu une confiance
30:16 dans OpenStack qui a été sévèrement attaquée par le fait qu'en théorie,
30:20 ça marchait.
30:20 Et quand ils faisaient des essais avec pas mal de noeuds, ils avaient
30:24 beaucoup de mal à garder leur infrastructure stable.
30:26 Moi, je peux pas dire trop parce que quelque part, c'est pas notre job.
30:31 Notre job, c'est plutôt de faire tomber l'infrastructure.
30:33 Et malheureusement, ça, je peux en parler.
30:35 Visiblement, c'était plutôt facile.
30:37 On a fait des Hostile NF et des Hostile VM.
30:39 Et c'est très, très difficile d'être bleeding edge de ce côté-là,
30:45 surtout quand t'as des vendeurs qui te suivent pas, qui disent "ouais,
30:47 tu auras un patch dans six mois".
30:48 Wow.
30:49 Super, merci.
30:53 Merci.

Recommandations