Sélectionner une page

ça date de 2015

Comme dirait l’autre « et tout le monde s’en fout ».

L'ingénierie sociale et les failles de l'humain.

Le DLP (prévention des fuites de données), le filtrage Web, et les protections contre les logiciels malveillants aident à renforcer la protection. Mais Hugh Thompson (Blue Coat Systems), expert en sécurité, estime que l’investissement dans la création d’une culture interne de la sécurité peut faire des employés une importante ligne de défense.

Les équipes de sécurité IT doivent en permanence trouver un équilibre entre maîtrise du risque et productivité des employés, pour s’assurer que ceux-ci peuvent utiliser des outils adéquats pour travailler, sans compromettre des données sensibles. Les services de partage de fichiers, les messageries Web, les réseaux sociaux et autres outils de collaboration en ligne créent un défi intéressant pour la gouvernance des données, selon Thompson.

«Comment puis-je savoir où vont mes données, où elles vont résider, et quelles règles leur sont appliquées ?» s’interroge-t-il. «C’est ce monde l’IT qui se déplace hors du regard de la gouvernance. Pour cette raison, tout cela devient un problème très important dans le domaine de la sécurité de l’information.»

Hugh Thompson est actuellement Directeur de la stratégie de sécurité et Vice-président senior de Blue Coat Systems. Il est également président du comité de programmation de RSA Conference. Il est en outre fondateur et directeur de la stratégie sécurité de People Security, une entreprise spécialisée dans la sensibilisation à la sécurité informatique et dans la formation à la programmation sécurisée.

Nous observons constamment une composante d’ingénierie sociale dans les violations de données. Dans certains cas, les attaquants n’ont pas même besoin d’exploiter une vulnérabilité : ils poussent les employés à la faute. N’est-ce pas un échec de l’instruction?

Hugh Thompson : C’est le point faible de la sécurité de nos jours. Le facteur humain. Si vous êtes un attaquant et que vous cherchez à vous infiltrer dans une organisation, entendez-vous passer des semaines, voire des mois, à chercher une vulnérabilité spécifique inconnue dans ses systèmes ou allez-vous privilégier l’ingénierie sociale ? Identifiez des employés spécifiques puis récupérez des informations sur les réseaux sociaux avant de leur passer un coup de fil ou de leur expédier un e-mail ! C’est évidemment le plus simple.

Le problème est que la plupart des gens ne pensent pas au risque lorsqu’ils font ces choix incrémentaux quotidiens de confiance ou de défiance. Cette décision, en matière de confiance/défiance est devenue bien trop compliquée.

Il fut un temps où il était assez facile de savoir si quelqu’un voulait vous avoir. Mais aujourd’hui, le problème est que ces scénarios d’attaque s’appuient sur des e-mails ou des sites Web tout aussi ennuyeux que le reste des choses ennuyeuses avec lesquelles chacun doit composer quotidiennement. Il est très difficile de faire la différence entre quelque chose qui ressemble à une attaque et quelque chose de légitime.

Je pense que nous nous approchons d’une crise de confiance parce qu’il est devenu difficile, même pour les gens instruits, prudents, voire modérément paranoïaques, de faire la différence entre un site fiable et un site dangereux, entre un e-mail légitime et un e-mail malveillant. La sensibilisation est importante mais nous avons aussi besoin d’outils qui éviteront que la décision en revienne à l’utilisateur.

Le facteur humain, un défi clé pour la sécurité.

Le manque de conscience et de compréhension des risques par les utilisateurs est l’un des plus grands défis pour la sécurité de l’information, selon un groupe d’experts.

« Près de la moitié de ces incidents ont impliqué la transmission de données par e-mail à un mauvais destinataire », expliquait ainsi Ray Stanton, conseiller en sécurité et vice-président exécutif Services de British Telecom.

Peu importe la qualité des équipes de sécurité et de la technologie : la sécurité restera faible si les professionnels de la sécurité échouent à influencer les utilisateurs pour qu’ils respectent les principes de bases de la sécurité, a-t-il souligné.

La sensibilisation à la sécurité de l’information devrait être obligatoire dans le cadre de l’enrôlement de toute nouvelle recrue, estime pour sa part David Blunkett, ancien ministre de l’Intérieur britannique : « les individus seront toujours la composante la plus vulnérable de la sécurité de l’information d’une organisation, parce que tout le monde commet des erreurs et peut-être aisément manipulé ».

Les organisations devraient ainsi travailler à construire une culture de la sécurité, estime de son côté Stefan Lüders, responsable de la sécurité informatique au Cern : « Les pratiques sûres doivent devenir automatiques, comme lorsque l’on traverse une rue, afin que chacun vérifie sans y penser où il adresse des données et ne clique pas sur des liens intégrés [à des e-mails] ou sur des pièces jointes ».

Pour Lüders, la formation contre le hameçonnage en utilisant des exercices de simulation peut être une façon utile de procéder, afin que chacun soit plus conscient de la sécurité et commence à se poser les bonnes questions.

Stanton estime pour sa part que les professionnels de la sécurité doivent s’assurer de rendre la sécurité pertinente pour tous dans l’organisation, adaptant le message aux fonctions et âges des utilisateurs : « expliquez ce que sécurité signifie pour eux ; comment ils sont concernés, et ce qu’ils pourraient perdre si des pirates venaient à compromettre » leur poste de travail.

En la matière, Stanton considère qu’il revient aux professionnels de la sécurité d’influencer le reste de l’organisation pour l’application des bonnes pratiques. Le tout avec un effort continu de formation.

John Colley, co-président du conseil consultatif européen de l’ISC2, suggère pour cela d’en revenir aux bases de la sécurité, et d’expliquer les fondamentaux. Un discours qui résonne comme un écho à celui tenu par Patrick Pailloux, alors patron de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), aux Assises de la Sécurité, en 2011.

Et John Colley de relever qu’il y a « mille et une choses que nous faisons inconsciemment et considérons comme acquises. Alors, il est important de ne pas négliger les principes clés sous-jacents lorsque l’on cherche à former les autres. Mais il est également important de ne pas sur-compliquer les choses. » Pour lui, les collaborateurs d’une organisation doivent avoir la compréhension et les compétences pour agir de manière appropriée lorsque la technologie touche à ses limites.

Et d’illustrer son propos : « la plupart des avions de transport de passagers sont capables de voler en pilote automatique, mais il y a toujours des pilotes à bord pour prendre le contrôle lorsque c’est nécessaire. »

Les dangers du WIFI public en voyage d'affaire.

En déplacement, salariés et chefs d’entreprise résistent difficilement au besoin de se connecter aux réseaux wi-fi publics. Une pratique qui n’est pourtant pas sans risques comme le démontre l’enquête du « Parisien Economie ».

Des cadres de grandes entreprises espionnés durant leurs voyages d’affaires en Asie… grâce au piratage des connexions wi-fi de leurs hôtels. C’est l’affaire dite du « Darkhotel », qui vient d’être révélée par Kaspersky Lab, entreprise russe de solutions de sécurité informatique. Et qui prouve, s’il en était besoin, que les dangers de se connecter en wi-fi à un réseau public (dans des aéroports, des gares, des chaînes de restauration) ou semi-public (dans les hôtels où les connexions sont réservées aux clients ayant la clé) sont bien réels.

Avec le wi-fi, les informations passent par des ondes radio rayonnant autour de l’émetteur. Lorsqu’il est public, « on se connecte à un équipement dont on n’a pas la maîtrise : on ne connaît pas forcément les niveaux de cryptage et les mises à jour qui ont été réalisées », avance Arnaud Jacques, gérant de la société Securiteinfo.com, qui déconseille carrément son utilisation.

Les données transmises peuvent être interceptéesLe principal danger ? Le « sniffling » (en français le « reniflage ») : « Des personnes malveillantes interceptent les communications entre l’équipement (PC, smartphone, tablette) et la base wi-fi », explique Nicolas Caproni, blogueur et consultant en cybersécurité. Ils peuvent ainsi tout capter : mots de passe, identifiants, contrats, mails… Une procédure extrêmement simple, si le réseau n’est pas crypté.

Pour cela, le pirate doit capter le même signal que celui qu’il souhaite surveiller. Il peut donc être assez proche physiquement, dans un rayon de 200 m — il lui suffit par exemple d’être équipé d’un ordinateur portable, d’une antenne et d’un logiciel renifleur — mais pas forcément. « Le wi-fi public peut avoir un très large déploiement : certaines villes sont équipées de nombreuses bornes.

Il suffit que le pirate soit connecté à une borne pour qu’il puisse se connecter aux autres », explique Pierre Jaury, consultant et formateur en sécurité informatique chez Sysdream. Et s’il peut espionner, il est aussi capable « de modifier à la volée tout ce qui transite par le réseau, comme par exemple changer les éléments d’un mail ou faire passer un virement d’un compte à un autre », reprend l’expert.

Le pirate peut également utiliser une autre technique : « Créer un faux hotspot wi-fi et attendre que les internautes se connectent automatiquement afin d’intercepter toutes les informations », reprend Nicolas Caproni. Une base émettrice qui prendrait par exemple le nom de l’hôtel où réside le voyageur…

Plus grave encore, la personne malveillante peut aussi s’attaquer au disque dur. Après avoir hacké un système wi-fi, le pirate peut, par exemple, « proposer de fausses mises à jour de logiciels », explique Nicolas Caproni, qui vont ainsi faire entrer sur l’équipement informatique des chevaux de Troie, soit une porte ouverte aux virus espions.

Face au danger, deux précautions possibles : utiliser plutôt des wi-fi cryptés (nécessitant un mot de passe), qui ne sont toutefois pas un gage de sécurité absolue, et se munir d’un VPN (« virtual private network »), permettant de chiffrer ses communications. Tout en gardant à l’esprit qu’avec le wi-fi public, le risque existe toujours.

Un mot sur la loyauté

Un autre jour où je googuelisais tranquillement, je lis une brève qui indique que 20% des salariés sont prêts à vendre leur login-password.

Oui, j’ai un truc à vous vendre qui répond à cette problématique.

Sinon je ne passerais pas du temps à rédiger ce billet, il fait beau, j'irais faire le marché et j'achèterais un bouquet de fleurs pour ma femme.

Ce truc, c’est une vidéo de 6 minutes qui fait office de mode d’emploi, ensuite il n’y a aucune documentation à se palucher. Après, il y a un formulaire (Nom – email) pour télécharger la version démo, une minute pour installer le logiciel et trois minutes pour le paramétrer sans aucune compétence d’ingénieur système requise.

Je veux voir ça tout de suite

Le coin du hableur

« Si on veut pas de problèmes, on prend pas Windows. »

Les standards de fait sont là. Il serait tout aussi simple de dire que si on ne veut pas de problèmes, on utilise pas TCP. Ce protocole universel dans le monde de l’Internet a été conçu sans aucune norme de sécurité. Si cela avait été le cas, les attaques par l’Homme du Milieu n’existeraient pas.

« Votre truc, il y a déjà des produits qui le font. »

Ne confondons pas invention et innovation. Innover, c’est faire plus vite, plus simplement en coûtant moins cher. Le conteneur n’était pas une invention en matière de transport maritime, mais une innovation qui a ramené le coût de la tonne de 60$ à 6 cents.

« Le pare-feu Windows, c’est de la merde. »

C’est un outil extraordinaire qui peut entièrement être piloté par un logiciel intelligent. Chopez Netstat, listez les connexions, interrogez WHOIS et dégagez toutes les IP des pays qui n’ont rien à faire chez vous. Une ligne de commande, et le pare-feu Windows s’en occupe.