Publié le 9 juin 2022 par Andrew Owen (13 minutes)
L’article d’aujourd’hui est basé sur une présentation que j’ai faite lors d’une conférence sur la sécurité dans les années 2010. Il est un peu plus long que ce que je partage habituellement, mais je pense qu’il est toujours pertinent, peut-être même plus que lorsqu’il a été écrit à l’origine.
Cet article s’adresse à un public non technique. Il a pour but de sensibiliser aux menaces qui sont souvent négligées lors du durcissement des logiciels et du matériel. Dans la pratique, on ne peut jamais qu’atténuer les menaces qui pèsent sur la sécurité. Par exemple, Bryan Dye a déclaré un jour au Wall Street Journal que Symantec, qui était à l’époque le plus grand fournisseur d’antivirus, se retirait du marché des antivirus parce que le logiciel n’arrêtait qu’environ 45 % des virus. Il a déclaré que l’argent n’était plus dans la “protection”, mais plutôt dans la “détection et la réponse”.
Ou encore la compromission du système SecurID de RSA. À l’époque, la théorie était qu’un État-nation essayait d’accéder aux secrets d’un fournisseur d’aérospatiale militaire, mais qu’il était bloqué par l’utilisation de SecurID par le fournisseur. Ils ont donc envoyé des courriels ciblés aux employés de RSA, ce qui leur a permis d’enfreindre la sécurité SecurID et d’obtenir ce qu’ils voulaient vraiment. La société RSA a été très critiquée pour sa réaction à cette attaque. Soit dit en passant, c’est la raison pour laquelle il est important de former votre personnel à reconnaître les courriels d’hameçonnage.
Dites que vous n’avez pas de plan de reprise après sinistre. Lorsque le pire se produit, même si vous avez changé tous vos mots de passe, vous savez que vous devrez le faire à nouveau une fois que tous les services que vous utilisez auront mis en place leurs nouvelles clés. Et vous vous demanderez toujours si quelqu’un a réussi à laisser un logiciel espion sur ces services pendant que les clés étaient compromises. La vulnérabilité OpenSSL Heartbleed est un exemple de ce qui peut arriver de pire en l’absence de plan de reprise après sinistre.
En tant que professionnels de l’informatique, lorsque nous parlons de sécurité, nous parlons principalement de la confidentialité, de l’intégrité et de la disponibilité (CIA) des données. Nous ne voulons pas que des données confidentielles quittent l’organisation, c’est pourquoi nous appliquons une politique d’appareils de confiance pour nous assurer que tous les appareils BYO ont leurs données cryptées et peuvent être effacés à distance. Nous bloquons l’utilisation d’applications de partage de fichiers telles que DropBox, qui peuvent conduire au stockage de données confidentielles dans le nuage public. Enfin, nous proposons aux utilisateurs d’autres solutions qui permettent de conserver les données au sein du réseau de l’entreprise, car les utilisateurs apprécient beaucoup DropBox.
Nous verrouillons tous les ports USB, car les espions des entreprises ont commencé à envoyer aux employés des souris gratuites contenant des logiciels malveillants cachés (je n’invente rien). Et nous utilisons des contrôles d’accès pour nous assurer que les personnes n’ont accès qu’aux informations dont elles ont besoin pour faire leur travail. Nous veillons à l’intégrité des données en effectuant des sauvegardes régulières et des restaurations périodiques pour nous assurer que ces sauvegardes fonctionnent. Et nous nous assurons que les données sont disponibles en effectuant la maintenance du système pendant que la côte ouest de l’Amérique est endormie. En dehors de la Californie, votre kilométrage peut varier. En supposant que vous ayez fait tout ce qu’il fallait pour sécuriser vos logiciels et votre matériel, qu’avez-vous manqué? J’y reviendrai plus tard.
Je m’intéresse à la sécurité depuis la fin des années 1980, lorsque j’ai reçu mon exemplaire du Hacker’s Handbook de Hugo Cornwall, où j’ai découvert l’existence de l’internet, ou ARPAnet comme on l’appelait à l’époque. Avant de rejoindre le secteur de la sécurité, j’ai travaillé pour une société de logiciels de vente au détail, où j’ai découvert toutes sortes de choses effrayantes sur la manière dont les paiements par carte sont traités. Saviez-vous, par exemple, que lorsque les paiements par carte à puce et par code PIN ont été introduits au Royaume-Uni, il n’y avait pas de cryptage entre les unités radio mobiles et les stations de base? Heureusement, ce problème a été résolu.
Ou saviez-vous que toutes les transactions de paiement par carte effectuées dans les magasins étaient stockées et envoyées non cryptées aux banques? La raison en est que, comme vous pouvez l’imaginer, un très grand nombre de transactions sont effectuées tout au long de la journée. Traditionnellement, ces transactions étaient envoyées à la banque en fin de journée pour être traitées pendant la nuit. Vous serez heureux d’apprendre qu’elles étaient envoyées sur une ligne spécialisée plutôt que sur l’internet public.
Mais même ainsi, ils étaient stockés sur le système hôte sans aucun cryptage. La raison en est que le décryptage de chaque transaction entraîne une surcharge de travail. En effet, il aurait fallu les crypter et les décrypter individuellement pour qu’elles fonctionnent avec le système de traitement par lots des banques. Cela aurait ajouté juste assez de temps pour que le système finisse par ne plus pouvoir suivre le nombre de transactions. Les paiements auraient été mis en file d’attente plus rapidement qu’ils n’auraient pu être traités.
Vous avez peut-être entendu parler de la norme PCI DSS (Payment Card Industry Data Security Standard). Cette norme stipule, entre autres, que les organisations doivent restreindre l’accès au dossier contenant les paiements par carte. Nous sommes donc déjà allés au-delà des logiciels et du matériel, et nous avons une politique de sécurité, la norme PCI DSS, et cette politique est basée, au moins en partie, sur la confiance. Si vous voulez en savoir plus sur la confiance, je vous recommande le livre de Bruce Schneier “Liars & Outliers”.
Ce que je veux faire comprendre ici, c’est que les logiciels et le matériel ne sont qu’une partie de la solution de sécurité. Tous les détaillants du Royaume-Uni sont censés faire l’objet d’un audit de conformité à la norme PCI DSS. Mais selon Financial Fraud Action UK, les pertes liées à la fraude à la carte bancaire au Royaume-Uni se sont élevées à 450,4 millions de livres sterling en 2013. Cela peut paraître grave, mais cela représente 7,4 pence pour 100 livres sterling dépensées. Ce qu’il faut prendre en compte ici, c’est le risque et le coût de l’atténuation de ce risque.
L’industrie des cartes de paiement veut réduire la fraude, mais si la mise en place d’une solution qui élimine la fraude coûte plus que le coût de la fraude elle-même, elle cherchera une solution moins chère. En fait, avant même de sécuriser la boîte, il faut une politique de sécurité. En effet, s’il n’y a rien de valeur dans la boîte, il n’est pas vraiment nécessaire de la sécuriser. Mais si le contenu de la boîte est la chose la plus précieuse que vous ayez, alors vous devez vraiment être en mesure de faire face à une situation où toutes vos mesures de sécurité ont échoué.
Bien que ce soit une façon un peu détournée d’arriver à mon propos, ce que je préconise, c’est que les organisations aient besoin d’une politique de sécurité. Et les fournisseurs de solutions de sécurité doivent aider leurs clients à envisager la sécurité de cette manière. Qu’est-ce qui fait une bonne politique de sécurité? Tout d’abord, il faut que quelqu’un soit responsable de la politique, le responsable de la sécurité (CSO). L’une de ses responsabilités les plus importantes est de réviser régulièrement la politique, car l’environnement évolue en permanence et une politique statique ne peut pas y répondre.
Comment élaborer une bonne politique de sécurité? Il y a plusieurs éléments à prendre en compte. Mais il s’agit avant tout d’évaluer le risque: quelle est la probabilité que quelqu’un sorte de cette installation avec toutes ces données gouvernementales sur une clé USB? Et le coût: quel sera l’effet si ces informations confidentielles sur toutes les personnes que nous espionnons tombent dans le domaine public?
Pour chaque risque, on calcule donc le coût associé, puis on propose une solution proportionnelle au risque. Revenons aux débuts du piratage informatique. Je ne suis pas sûr que quelqu’un ait jamais calculé le risque de voir des pirates informatiques fouiller les poubelles à la recherche de manuels d’ingénieurs en téléphonie. Mais je suis raisonnablement convaincu que le coût de la destruction de tous ces manuels par rapport au risque que quelqu’un tape le tout dans un ordinateur et le télécharge sur un système de tableau d’affichage était assez élevé. C’était à l’époque des scanners bon marché, de la reconnaissance optique des caractères et de l’accès généralisé à l’internet, et c’est pourquoi tout le monde se débarrasse aujourd’hui des documents confidentiels en toute sécurité, n’est-ce pas?
Dans l’affaire Snowden, deux choses m’ont surpris. Tout d’abord, la NSA n’utilisait pas le contrôle d’accès obligatoire (MAC). En d’autres termes, elle n’utilisait pas de solution informatique de confiance. Elle utilisait les mêmes systèmes d’exploitation que le reste d’entre nous. Je pense que cela s’explique en partie par le fait qu’il est coûteux d’obtenir une assistance pour les systèmes d’exploitation fiables, parce que presque personne ne les utilise en dehors des gouvernements. Et souvent, les applications que les gouvernements veulent utiliser ne sont pas disponibles sur ces plates-formes, de sorte que le coût de leur utilisation peut dépasser les avantages qu’elles offrent en termes de réduction des risques. Mais l’autre chose qui m’a surpris, c’est la pratique du partage des mots de passe.
Cela m’amène à la principale vulnérabilité à laquelle vous êtes confronté si votre matériel et vos logiciels sont sécurisés. Vos utilisateurs. Kevin Mitnick, je suppose que vous avez entendu parler de lui, si ce n’est pas le cas, recherchez-le. Il affirme, et je ne suis pas en désaccord avec lui, que les humains sont le maillon faible de la sécurité. En fait, je vous recommande son livre “The Art of Deception” si vous voulez savoir exactement à quel point les gens sont prévisibles et faciles à manipuler.
Examinons donc la question du partage des mots de passe. Si vous mettez en place un obstacle suffisamment important pour que vos utilisateurs puissent travailler, ils trouveront un moyen de le contourner. Est-il plus facile de communiquer son mot de passe à quelqu’un que de faire des pieds et des mains pour obtenir le fichier dont il a besoin? De nombreuses entreprises ont adopté une politique selon laquelle les mots de passe doivent contenir au moins huit caractères alphanumériques, des lettres majuscules et minuscules, au moins un chiffre et au moins un caractère spécial. Il ne peut pas non plus s’agir d’un des trois mots de passe précédents. Que font alors les utilisateurs? Ils choisissent des mots du dictionnaire avec des substitutions.
Ils doivent ensuite modifier leur mot de passe tous les six mois, ou tous les trimestres s’il s’agit d’un mot de passe administratif. Deux solutions s’offrent alors à eux. Ils notent les mots de passe. Ou bien ils changent de mot de passe à plusieurs reprises jusqu’à ce qu’ils reviennent à leur mot de passe initial. Il est assez facile d’obtenir un nom d’utilisateur d’entreprise valide. Ils figurent dans toutes nos adresses électroniques. Si vous pouvez accéder à un site d’entreprise et vous connecter physiquement au réseau, vous pouvez continuer à essayer de vous connecter jusqu’à ce que vous forciez le mot de passe.
Comment se rendre sur le site? Cela touche à l’autre vulnérabilité principale, la sécurité physique. De nombreuses entreprises utilisent des badges d’employés pour l’accès aux bâtiments, et certaines zones sont réservées à des groupes d’employés spécifiques. Elles ont pour principe de ne pas ouvrir la porte à des personnes que les employés ne reconnaissent pas. Malheureusement, il est dans la nature de la plupart des gens d’être serviables. Si je souris à quelqu’un alors qu’il franchit une porte et que je suis habillé de manière appropriée, il y a moins de chances qu’il se demande s’il n’aurait pas dû me laisser le suivre.
Le livre de Mitnick regorge de techniques d’ingénierie sociale de ce type. Mais en fait, le moyen le plus simple d’entrer sur le site de certaines entreprises est de s’inscrire à un cours de formation. Vous avez peut-être lu dans la presse, au début de l’année, l’histoire d’une bande d’escrocs qui ont volé 1,25 million de livres sterling en entrant dans des agences bancaires et en y installant des commutateurs KVM (clavier/vidéo/souris). Les rapports ne précisent pas comment ils sont entrés dans le bâtiment, mais on peut supposer qu’il s’agissait d’une technologie de pointe et qu’ils ne sont pas entrés par effraction.
Il faut donc sensibiliser le personnel aux menaces. L’hameçonnage par courriel, l’ingénierie sociale, le fait de ne pas prendre des clés USB qui traînent et de les connecter à l’ordinateur de l’entreprise. Je ne parlerai même pas du BYOD (Bring Your Own Device). Il s’agit de “Bring Your Own Device”, bien que certains l’aient appelé “Bring Your Own Disaster” en raison des risques supplémentaires et des problèmes de gestion qu’il entraîne. Je dirai que la solution consiste à exiger que les appareils BYO répondent à un niveau minimum de protection: un mot de passe sécurisé, un stockage crypté, la possibilité de procéder à un effacement à distance. En résumé, le message est le suivant: c’est bien beau d’avoir une politique de sécurité, mais elle ne sert pas à grand-chose si votre personnel n’en a pas connaissance.
Une fois la politique mise en place, il faut la soumettre à des tests de résistance. C’est là qu’intervient l’“équipe rouge”. Il peut s’agir d’un groupe interne ou d’un groupe recruté à l’extérieur, dont le travail consiste à tenter de pénétrer votre sécurité, par exemple en laissant traîner des clés USB ou en envoyant des courriels d’hameçonnage. Les tests de pénétration doivent être effectués régulièrement, la fréquence dépendant de l’analyse des risques et des coûts, et la politique de sécurité doit être mise à jour en fonction des résultats.
Mais revenons à la sécurité physique. À la suite de l’ouragan Sandy, il semble assez évident que si vous effectuez des sauvegardes hors site dans plusieurs centres de données, vous ne devez pas, à tout le moins, les installer dans la même plaine inondable. Bien sûr, depuis lors, tout le monde a examiné l’emplacement de ses services critiques et s’est assuré d’une redondance suffisante pour faire face à une catastrophe majeure. N’est-ce pas le cas?
En supposant que vous ayez choisi votre emplacement et que vous vous trouviez en dehors de la plaine inondable de 500 ans, vous devrez envisager d’autres sources d’énergie, étant donné les exigences croissantes auxquelles est soumis le réseau électrique. Et lorsque vous avez mis en place votre alimentation de secours, il est utile de vérifier qu’elle fonctionne réellement. La qualité de vos sauvegardes dépend de votre capacité à récupérer à partir de ces sauvegardes ; il est donc important d’effectuer des tests réguliers pour s’en assurer. L’accès physique peut être contrôlé par des barrières physiques, des serrures, des gardes, mais il peut aussi être surveillé par des caméras vidéo. Les serveurs chauffent, il faut donc envisager des systèmes d’extinction d’incendie. Idéalement, il faut prévoir des systèmes qui permettent de récupérer les données.
J’ai à peine effleuré la surface, mais j’espère vous avoir donné quelques pistes de réflexion. En résumé, vous devez disposer d’une politique de sécurité qui soit continuellement révisée et qui couvre les aspects suivants
La chose la plus importante est de sensibiliser les gens à la sécurité.