Le mot « protocole » apparaît partout dans l'informatique, décrivant généralement les détails de la façon d'échanger des données entre le demandeur et le répondeur.
Ainsi, nous avons HTTP, abréviation de protocole de transfert hypertexte, qui explique comment communiquer avec un serveur Web ; SMTP ou protocole de transfert de courrier simple, qui régit l'envoi et la réception d'e-mails ; et BGP, le protocole de passerelle frontalière, au moyen desquels les FAI se disent vers quelles destinations Internet ils peuvent aider à fournir des données et à quelle vitesse.
Mais il existe également un protocole important qui aide les humains dans l'informatique, y compris les chercheurs, les intervenants, les administrateurs système, les gestionnaires et les utilisateurs, à faire preuve de circonspection dans la manière dont ils traitent les informations sur les menaces de cybersécurité.
Ce protocole est connu sous le nom de TLP, abréviation de Protocole des feux de circulation, conçu comme un moyen très simple d'étiqueter les informations de cybersécurité afin que le destinataire puisse facilement déterminer à quel point elles sont sensibles et à quel point elles peuvent être partagées sans aggraver une mauvaise chose.
Fait intéressant, tout le monde ne souscrit pas à l'idée que la diffusion d'informations sur la cybersécurité ne devrait jamais être restreinte, même volontairement.
Les amateurs de soi-disant divulgation complète insistent sur le fait que publier autant d'informations que possible, aussi largement que possible, aussi rapidement que possible, est en fait le meilleur moyen de gérer les vulnérabilités, les exploits, les cyberattaques, etc.
Les défenseurs de la divulgation complète admettront volontiers que cela fait parfois le jeu des cybercriminels, en identifiant clairement les informations dont ils ont besoin (et en révélant des connaissances qu'ils n'avaient peut-être pas auparavant) pour lancer des attaques immédiatement, avant que quiconque ne soit prêt.
Une divulgation complète peut également perturber les cyberdéfense en obligeant les administrateurs système partout à arrêter ce qu'ils font et à détourner immédiatement leur attention vers quelque chose qui aurait pu autrement être programmé en toute sécurité un peu plus tard, si seulement cela n'avait pas été crié sur les toits.
Simple, facile et équitable
Néanmoins, les partisans de la divulgation complète vous diront que rien n'est plus simple, plus facile ou plus juste que de le dire à tout le monde en même temps.
Après tout, si vous en parlez à certaines personnes mais pas à d'autres, afin qu'elles puissent commencer à préparer des défenses potentielles dans un secret relatif et donc peut-être devancer les cybercriminels, vous risquez en fait d'aggraver les choses pour le monde entier.
Si même l'une des personnes du cercle restreint s'avère être un voleur, ou révèle par inadvertance le secret simplement par la nature de sa réaction ou par les plans qu'elle décide soudainement de mettre en œuvre, alors les escrocs peuvent très bien désosser les informations secrètes pour eux-mêmes de toute façon…
… et ensuite tous ceux qui ne font pas partie du cercle intérieur seront jetés aux loups.
Quoi qu'il en soit, qui décide quels individus ou organisations sont admis dans le cercle restreint (ou le "Old Boy's Club", si vous voulez être péjoratif à ce sujet) ?
De plus, la doctrine de la divulgation complète garantit que les entreprises ne peuvent pas s'en tirer avec des problèmes cachés et ne rien faire à leur sujet.
Pour reprendre les mots du tristement célèbre (et problématique, mais c'est un argument pour un autre jour) Sneakers, un film de hackers de 1992 : "Plus de secrets, Marty."
Divulgation responsable
La divulgation complète, cependant, n'est pas la façon dont la réponse à la cybersécurité est généralement effectuée de nos jours.
En effet, certains types de données liées aux cybermenaces ne peuvent tout simplement pas être partagées de manière éthique ou légale, si cela pourrait nuire à la vie privée de quelqu'un ou mettre les destinataires eux-mêmes en violation des réglementations sur la protection des données ou la possession de données.
Au lieu de cela, l'industrie de la cybersécurité s'est largement installée sur une sorte de terrain d'entente pour la communication d'informations sur la cybersécurité, connue officieusement sous le nom de divulgation responsable.
Ce processus est basé sur l'idée que le moyen le plus sûr et le plus juste de résoudre les problèmes de cybersécurité sans les divulguer immédiatement au monde entier est de donner aux personnes qui ont créé les problèmes les « premiers mots » pour les résoudre.
Par exemple, si vous trouvez une faille dans un produit d'accès à distance qui pourrait conduire à un contournement de sécurité, ou si vous trouvez un bogue dans un serveur qui pourrait conduire à l'exécution de code à distance, vous le signalez en privé au fournisseur du produit (ou l'équipe qui s'en occupe, si c'est open source).
Vous convenez ensuite avec eux d'une période de secret, qui dure généralement de quelques jours à quelques mois, au cours de laquelle ils peuvent régler le problème en secret, s'ils le souhaitent, et ne divulguer les détails sanglants qu'une fois leurs correctifs prêts.
Mais si la période convenue expire sans résultat, vous passez en mode de divulgation complète et révélez quand même les détails à tout le monde, garantissant ainsi que le problème ne peut pas simplement être balayé sous le tapis et ignoré indéfiniment.
Partage contrôlé
Bien sûr, la divulgation responsable ne signifie pas que l'organisation qui a reçu le rapport initial est obligée de garder l'information pour elle-même
Les destinataires initiaux d'un rapport privé peuvent décider qu'ils veulent ou doivent quand même partager la nouvelle, peut-être de façon limitée.
Par exemple, si vous avez un correctif critique qui nécessitera la coopération de plusieurs parties de votre organisation, vous n'aurez d'autre choix que de partager les informations en interne.
Et si vous savez qu'un correctif va corriger une faille de sécurité récemment découverte, mais uniquement si vos clients modifient la configuration avant de le déployer, vous pouvez leur donner un avertissement précoce afin qu'ils puissent se préparer.
En même temps, vous voudrez peut-être leur demander gentiment de ne pas tout dire au reste du monde sur le problème pour le moment.
Ou vous enquêtez peut-être sur une cyberattaque en cours et vous souhaitez peut-être révéler différentes quantités de détails à différents publics au fur et à mesure que l'enquête se déroule.
Vous pourriez avoir des conseils généraux qui peuvent être partagés de manière sûre et utile dès maintenant avec le monde entier.
Vous pouvez avoir des données spécifiques (telles que des listes de blocage IP ou d'autres indicateurs de compromission) que vous souhaitez partager avec une seule entreprise, car l'information les révèle inévitablement en tant que victime.
Et vous voudrez peut-être révéler tout ce que vous savez, dès que vous le saurez, à des enquêteurs des forces de l'ordre en qui vous avez confiance pour poursuivre les criminels impliqués.
Comment étiqueter les informations ?
Comment étiqueter sans ambiguïté ces différents niveaux d'informations de cybersécurité ?
Les forces de l'ordre, les services de sécurité, les armées et les organismes internationaux officiels ont généralement leur propre jargon, connu sous le nom de marquage de protection, pour ce genre de choses, avec des étiquettes que nous connaissons tous dans les films d'espionnage, comme SECRET, TOP SECRET, FOR YOUR EYES ONLY, NO FOREIGN NATIONALS, Et ainsi de suite.
Mais différentes étiquettes signifient différentes choses dans différentes parties du monde, de sorte que ce type de marquage de protection ne se traduit pas bien pour un usage public dans de nombreuses langues, régions et cultures de cybersécurité différentes.
(Parfois, ces étiquettes peuvent être linguistiquement difficiles. Un document confidentiel produit par les Nations Unies, par exemple, doit-il être étiqueté UN - CLASSIFIED? Ou cela serait-il mal interprété comme UNCLASSIFIED et être largement partagé ?)
Qu'en est-il d'un système d'étiquetage qui utilise des mots simples et une métaphore globale évidente ?
C'est là que le Protocole des feux de circulation entre en jeu.
La métaphore, comme vous l'aurez deviné, est l'humble feu de circulation, qui utilise les mêmes couleurs, avec à peu près les mêmes significations, dans presque tous les pays du monde.
ROUGE signifie stop, et rien que stop ; AMBRE signifie arrêter à moins que cela ne soit dangereux en soi ; et VERT signifie que vous êtes autorisé à partir, en supposant que vous pouvez le faire en toute sécurité.
Les feux de circulation modernes, qui utilisent des LED pour produire des fréquences lumineuses spécifiques, au lieu de filtres pour supprimer les bandes de couleur indésirables des lampes à incandescence, sont si brillants et ciblés avec précision que certaines juridictions ne prennent plus la peine de tester les conducteurs potentiels pour le soi-disant daltonisme, parce que le trois bandes de fréquences émises sont si étroites qu'il est presque impossible de les confondre, et leurs significations sont si bien établies.
Même si vous vivez dans un pays où les feux de circulation ont des signaux « intermédiaires » supplémentaires, tels que vert + orange ensemble, rouge + orange ensemble, ou une couleur clignotant en continu toute seule, presque tout le monde dans le monde comprend les métaphores des feux de signalisation. basé uniquement sur ces trois couleurs principales.
En effet, même si vous avez l'habitude d'appeler le feu du milieu JAUNE au lieu d'AMBRE, comme le font certains pays, il est évident à quoi AMBRE fait référence, ne serait-ce que parce que c'est celui du milieu qui n'est ni ROUGE ni VERT.
Version TLP 2.0
Le Protocole des feux de circulation a été introduit pour la première fois en 1999, et en suivant le principe de Gardez-le simple et direct (KISS), est devenu un système d'étiquetage utile pour les rapports de cybersécurité.
En fin de compte, le TLP nécessitait quatre niveaux, et non trois, donc la couleur BLANCHE a été ajoutée pour signifier "vous pouvez partager cela avec n'importe qui", et les désignateurs ont été définis très spécifiquement comme les chaînes de texte TLP:RED (toutes en majuscules, sans espaces), TLP:AMBER, TLP:GREEN et les TLP:WHITE.
En gardant les espaces hors des étiquettes et en les forçant en majuscules, ils se démarquent clairement dans les lignes d'objet des e-mails, sont faciles à utiliser lors du tri et de la recherche, et ne seront pas divisés entre les lignes par erreur.
Eh bien, après plus de 20 ans de service, le TLP a subi une mise à jour mineure, de sorte qu'à partir d'août 2022, nous avons Protocole des feux de circulation 2.0.
Tout d'abord, la couleur WHITE a été remplacée par CLEAR.
Le blanc a non seulement des connotations raciales et ethniques que la décence commune nous invite à éviter, mais représente également de manière confuse toutes les autres couleurs mélangées, comme si cela pouvait signifier aller et s'arrêter en même temps.
Donc CLEAR n'est pas seulement un mot qui s'intègre plus confortablement dans la société d'aujourd'hui, mais aussi un qui correspond plus clairement à son objectif.
Et un cinquième marqueur a été ajouté, à savoir TLP:AMBER+STRICT.
Les niveaux sont interprétés comme suit :
TLP:RED |
"Pour les yeux et les oreilles des destinataires individuels uniquement." C'est assez facile à interpréter : si vous recevez un document de cybersécurité TLP:RED, vous pouvez agir dessus, mais vous ne devez pas le transmettre à quelqu'un d'autre. Ainsi, vous n'avez pas besoin d'essayer de déterminer si vous devriez en informer des amis, des collègues ou des collègues chercheurs. Ce niveau est réservé aux informations susceptibles de provoquer « risque important pour la vie privée, la réputation ou les opérations des organisations concernées ». |
TLP:AMBER+STRICT |
Vous pouvez partager ces informations, mais uniquement avec d'autres personnes au sein de votre organisation. Vous pouvez donc en discuter avec les équipes de programmation, ou avec le service informatique. Mais vous devez le garder "dans la maison". Vous ne devez notamment pas les transmettre à vos clients, partenaires commerciaux ou fournisseurs. Malheureusement, la documentation TLP n'essaie pas de définir si un sous-traitant ou un fournisseur de services est interne ou externe. Nous vous suggérons de traiter la phrase "limiter le partage à l'organisation uniquement" aussi strictement que possible, comme le suggère le nom de ce niveau de sécurité, mais nous soupçonnons que certaines entreprises finiront par adopter une interprétation plus libérale de cette règle. |
TLP:AMBER |
Comme TLP:AMBER+STRICT, mais vous pouvez partager les informations avec les clients (le document TLP utilise en fait le mot CLIENTS) si nécessaire. |
TLP:GREEN |
Vous pouvez partager ces informations au sein de votre communauté. Le TLP vous laisse le soin d'être raisonnable quant aux personnes qui constituent votre communauté, notant seulement que "lorsque la 'communauté' n'est pas définie, supposez que la communauté de la cybersécurité/défense." En pratique, vous pourriez aussi bien supposer que tout ce qui est publié en tant que TLP:GREEN finira par être connu du public, mais il vous incombe de réfléchir à la manière dont vous le partagez vous-même. |
TLP:CLEAR |
Très simplement, vous êtes clair pour partager ces informations avec qui vous voulez. Comme le dit le TLP : "Les destinataires peuvent diffuser cela à la world; il n'y a pas de limite à la divulgation. Cette étiquette est particulièrement utile lorsque vous partagez deux documents ou plus avec une partie de confiance et qu'au moins l'un des documents est marqué pour un partage restreint. Mettre TLP: CLEAR sur le contenu qu'ils peuvent partager, et peut-être que vous voulez qu'ils partagent afin d'accroître la sensibilisation, rend vos attentions très claires, si vous me pardonnerez le jeu de mots. |
Juste pour être clair (désolé !), nous ne mettons pas TLP:CLEAR sur chaque article de Naked Security que nous publions, étant donné que ce site est déjà accessible au public, mais nous vous invitons à l'assumer.
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- MDR
- MTR
- Sécurité nue
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- un article
- Direction de la sécurité
- TLP
- VPN
- la sécurité d'un site web
- zéphyrnet
![S3 Ep100.5 : Violation d'Uber – un expert parle [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/09/1005-csezlaw-1200-360x188.png "S3 Ep100.5 : Violation d'Uber – un expert parle [Audio + Texte]")
![S3 Ep115 : Histoires vraies de crimes – Une journée dans la vie d'un combattant de la cybercriminalité [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115 : Histoires de vrais crimes – Une journée dans la vie d'un combattant de la cybercriminalité [Audio + Texte]")
![S3 Ep119 : Brèches, correctifs, fuites et ajustements ! [Audio + Texte]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "S3 Ep119 : Brèches, correctifs, fuites et ajustements ! [Audio + Texte]")
