Qu'est-ce qu'un CERT (Computer Emergency Response Team) ?

Historique

La seconde moitié des années 80 vit le réseau Arpanet, développé par le DoD (le Département de la Défense américain), sortir de la phase de R&D pour devenir une réalité pratique sous l'impulsion du monde universitaire. L'efficacité et la constante amélioration des divers services, dont le courrier électronique, rendirent rapidement ce réseau indispensable pour de nombreux sites.

En novembre 1988, un étudiant de l'Université de Cornell lâcha sur ce réseau un programme qui se propageait et se répliquait tout seul. Ce programme, connu sous le nom de « ver Internet », exploitait diverses failles de sécurité du système Unix (le système d'exploitation de la plupart des ordinateurs connectées sur le réseau). Bien que programmé sans intentons malveillantes, ce premier virus informatique, se répandit rapidement tout en engorgeant les machines infectées par de multiples copies du ver. À cette époque, le réseau comprenait environ 60 000 ordinateurs. Avec seulement 3 à 4% de machines contaminées, le réseau devint complètement indisponible pendant plusieurs jours jusqu'à ce que des mesures conservatoires soient prises (dont la déconnexion de nombreuses machines du réseau).

Pour éliminer ce « ver Internet », une équipe d'analyse ad hoc fut créée avec des experts du MIT, de Berkley, Purdue, Le code du virus fut reconstitué et analysé ce qui permit, d'une part, d'identifier et corriger les failles du système d'exploitation, et d'autre part, de développer et diffuser des mécanismes d'éradication. À la suite de cet incident, le maître d'ouvrage d'Arpanet, la DARPA (Defense Advanced Research Projects Agency), décida la mise en place d'une structure permanente, le CERT Coordination Center (CERT/CC) semblable à l'équipe réunie pour résoudre l'incident.

Depuis Internet n'a cessé de croître pour devenir le réseau que nous connaissons aujourd'hui, avec une multiplication rapide des machines connectées (plusieurs millions) et des sources d'agression.

Rôle et mission

Les tâches prioritaires d'un CERT sont les suivantes :

• centralisation des demandes d'assistance suite aux incidents de sécurité (attaques) sur les réseaux et les systèmes d'informations : réception des demandes, analyse des symptômes et éventuelle corrélation des incidents ;
• traitement des alertes et réaction aux attaques informatiques : analyse technique, échange d'informations avec d'autres CERT, contribution à des études techniques spécifiques ;
• établissement et maintenance d'une base de donnée des vulnérabilités ;
• prévention par diffusion d'informations sur les précautions à prendre pour minimiser les risques d'incident ou au pire leurs conséquences ;
• coordination éventuelle avec les autres entités (hors du domaine d'action) : centres de compétence réseaux, opérateurs et fournisseurs d'accès à Internet, CERT nationaux et internationaux.

Les CERT ou CSIRT français

Il existe plusieurs CERT en France. Voici la liste alphabétique des équipes françaises membres du FIRST ou de la TF-CSIRT :

• le CERTA est le CSIRT dédié au secteur de l'administration française ;
• le CERT-DEVOTEAM est un CSIRT commercial français ;
• le Cert-IST est le CSIRT dédié au secteur de l'Industrie, des Services et du Tertiaire (IST). Il a été créé à la fin de l'année 1998 par quatre partenaires : Alcatel, le CNES, ELF (Total) et France Télécom (Orange) ;
• le CERT-RENATER est le CERT dédié à la communauté des membres du GIP RENATER (Réseau National de télécommunications pour la Technologie, l'Enseignement et la Recherche) ;
• le CERT-societegenerale est le CSIRT dédié au groupe Société Générale ;
• le CERT-XMCO est un CSIRT commercial français;
• le CSIRT-BNP Paribas est le CSIRT dédié au groupe BNP Paribas ;
• LEXSI (Laboratoire d'EXpertise en Sécurité Informatique) est un CSIRT commercial français.