Diplomatie
Extrait publié dans la Revue des affaires n°8 Qui va doucement va sûrement
Son nom, menace avancée persistante, insiste bien sur le fait que l’attaque est avancée, et va donc utiliser des moyens techniques plus ou moins élaborés, notamment pour contourner et leurrer les IPS et les IDS sur la durée (pour la définition d’IDS et IPS, voir le chapitre sur « empêcher les intrusions réseau »). Si les outils utilisés ne sont pas forcément très évolués, la combinaison de plusieurs d’entre eux rend l’attaque avancée. Aussi, l’alliance de ces différentes combinaisons avec différentes méthodes de piratage dont l’action est plus humaine que générée, permet de pénétrer de façon totalement clandestine le réseau ciblé.
Elle est persistante parce que les pirates vont prendre leur temps (jusqu’à plusieurs années) afin de ne pas être repérés.
On associe souvent ces menaces à des attaques étatiques ou visant des entreprises de très haute notoriété.
Parmi les attaques connues, l’opération Aurora par laquelle la République Populaire de Chine aurait visé de nombreuses entreprises américaines à portée mondiale, comme Google.
Également Stuxnet, attaque attribuée aux États-Unis afin de pirater, notamment à l’aide d’un ver, le programme nucléaire de l’Iran.
Elles sont également le fait de groupes militants ou issus du crime organisé. Les cibles sont souvent des entreprises travaillant avec des données sensibles (États, entreprises tournées vers les télécommunications, l’énergie, l’industrie…).
Les acteurs de l’attaque sont formés à travailler sur la durée tout en restant à chaque instant très discrets. Les script-kiddies n’ont pas leur place sur ce genre d’attaque.
Bien que tous les moyens soient exploités, c’est souvent grâce à la faille humaine que les pirates réussissent à s’infiltrer de la façon la plus efficace. En effet, ils vont préférer utiliser un compte compromis (intrusion dans la machine ou récupération d’identifiants grâce à un logiciel espion type keylogger ou troyen) qui leur permettra de rester discrets.
Digne d’un grand film d’action ou d’une véritable guerre, l’APT va être mise en place selon un scénario très minutieux :
– Étape de reconnaissance ► récupération d’informations concernant la cible : organigrammes, schémas réseaux, wifis disponibles, captures réseaux, informations sur les employés (notamment via leurs réseaux sociaux), architecture physique, clients, partenaires, hébergeurs,
– Étape de stratégie d’attaque ► les acteurs se coordonnent, échangent leurs données, testent les points d’entrée les plus pertinents, configurent leurs logiciels ou outils, adaptent leurs méthodes en fonction de leur cible.
– Étape d’intrusion initiale ► (on cible souvent un « patient 0 » qui permettra de contaminer les autres). Souvent, la méthode privilégiée est le phishing. Cette méthode permettra, sur l’hôte, de récupérer des informations plus sensibles, mais aussi des identifiants et mots de passe alors utilisables directement et surtout discrètement sur le réseau.
– Étape de déploiement ► les différents outils sont déployés, les différentes méthodes sont appliquées, le but étant de s’étaler dans le réseau, tout en restant discrets et en gardant active la connexion entre la cible et eux. Parfois les pirates injectent de toutes petites trames de données les unes après les autres afin que les logiciels de détection ne s’alarment pas.
– Étape d’extension ► les différents systèmes sont pénétrés, ils cherchent de nouvelles cibles, développent leurs méthodes, outils et codes pour ces nouvelles victimes.
– Étape d’exfiltration des données ► les données récupérées sont sorties discrètement pour être analysées et exploitées ou pour servir à des attaques de plus grande ampleur. Les attaquants veillent à effacer au mieux leurs traces, afin de soit pouvoir attaquer de nouveau, soit aller à la cible suivante sans alerter qui que ce soit.
Ce type de menace est en vogue parce que plus il est discret, plus il est efficace et plus la récolte d’informations sera bonne.
La première, et la plus importante des solutions, est toujours la même : la formation (et l’information). En effet, nous avons vu que la porte d’entrée (le patient 0) est toujours due à une erreur humaine. Un phishing, le plus souvent, fait mouche. Si les collaborateurs sont sensibilisés très précisément sur ces risques, avec des piqûres de rappel très fréquentes, et une responsabilisation adéquate, le risque d’ouvrir cette porte diminue.
Les vendeurs de solutions de sécurité prévoient également des suites configurables pour éviter les APT, en adaptant à l’entreprise selon son domaine, sa configuration, son risque. Utilisant parfois des serveurs AAA (Authentification — Authorization — Accounting) permettent de centraliser les types d’autorisations en fonction du niveau d’habilitation de l’utilisateur, l’authentification en centralisant tous les comptes utilisateurs et la traçabilité (accounting) pour garder un journal de toutes les activités.
Un bon audit peut déjà déterminer quels sont les risques et les faiblesses visibles (voir le chapitre sur les systèmes de détection des intrusions).
Ensuite, vérifier à l’aide d’IDS et d’IPS, ainsi que de la supervision, ce qui circule sur le réseau, en prenant soin de cibler certains ports et analyser ceux qui doivent rester ouverts tout en filtrant bien les transferts. Des filtres sur les serveurs web peuvent être configurés, puisque certaines attaques prévoient que l’étape d’exfiltration soit faite par mail. Mais attention, la première intrusion est fatale : une fois à l’intérieur, les outils et méthodes utilisées sont souvent des éléments considérés comme fiables par les systèmes de sécurité. Il faut donc aller au-delà.
On peut utiliser des ordinateurs zombis, ou pot de miel (honey pot) virtuels ou physiques dont le rôle est d’avertir en cas de sollicitation (l’ordinateur ne sert à rien, donc s’il est interrogé ou sollicité, c’est probablement pour le tester, récolter des informations, tenter de s’introduire).
Enfin préparer un plan de reprise d’activité et un plan de crise au cas où le pire serait arrivé.
La sécurité est pour le moment plutôt bien assurée, à tous les maillons de la chaîne. Malgré tout, les données les plus importantes sont conservées à l’intérieur de l’entreprise elle-même, par peur d’un vol. Les centres sont des forteresses multipliant les authentifications, que ce soit pour accéder aux baies contenant les serveurs ou disques, ou pour accéder aux données de l’extérieur.
De nombreux capteurs d’humidité, de température, de sismicité sont présents, la faille physique est donc assez peu plausible si le protagoniste est une entreprise de confiance et réputée.
Les IPS et les IDS sont déployés à tous les niveaux, chaque machine est une tour d’ivoire. L’enjeu est de taille et les propriétaires des Cloud en ont pris la mesure.
La sécurité n’a pas que la confidentialité comme objectif, elle a également la disponibilité. Or la mise en place de multiples outils de détection, de vérification, de cryptographie va possiblement ralentir les traitements et les flux. Et la rapidité est un critère professionnel important, les clients attendent une très haute disponibilité.
La perte de données est également un risque à prendre en compte et à anticiper. Par exemple Google perd, chaque année, des comptes ou des données (en 2011, près de 150 000 comptes Gmail ont été vidés ; en 2015 la foudre a fait perdre des données sur l’un de ses datacenters situé en Belgique).
Un autre risque est le fait que, comme dit précédemment, plusieurs acteurs interviennent pour un même service, parfois faisant appel à des sous-traitants, et la sécurité de ces sous-traitants n’est pas forcément celle pour laquelle l’utilisateur avait signé.
La séparation entre les serveurs est également un point assez flou. En effet, si un ransomware venait à toucher une des parties du Cloud, tout le Cloud serait-il affecté ? D’autres entreprises peuvent-elles accéder à mes données si elles sont sur le même serveur ?
Le déni de service semble aussi être l’une des attaques les plus répandues et qui devraient perdurer (avec demande de rançon pour arrêter), touchant ainsi la disponibilité.
Une autre faille, assez difficile à endiguer, est, toujours, le risque humain. Si un utilisateur partage ses données, se connecte d’un réseau non sécurisé ou compromis, s’il dévoile son mot de passe ou partage des informations permettant de le retrouver, alors la sécurité des données stockées est compromise. L’utilisateur malveillant détruisant volontairement ou ouvrant l’accès de lui-même est toujours possible.
Rappelons également que les données qui sont stockées dans un pays sont soumises aux lois de ce pays, et dans certains pays, la législation est assez peu développée dans ce domaine, notamment en matière de protection ou de confidentialité. Par exemple le Patriot Act, aux États-Unis, autorise les autorités à visualiser les données stockées dans un datacenter. Cette loi est valable pour les entreprises hébergeant sur le sol américain, mais aussi pour les données hébergées en Europe par des sociétés de droit américain, sans autorisation préalable requise et sans même notifier les clients.
La première vérification à faire est de contrôler la configuration de la sécurité de ses hébergeurs. Puis regarder la localisation physique des serveurs et la législation dans ces pays. Ensuite, il faut bien lire les contrats qui vous lient à l’entreprise proposant le Cloud. Ils peuvent par exemple se permettre, puisqu’ils l’ont écrit, de changer la localisation des serveurs ou la sécurité utilisée. L’entreprise doit respecter les recommandations de la norme ISO 27001. Le Cloud doit aussi proposer le chiffrement des données (c’est le cas de Google, mais pas d’Apple par exemple), ou alors c’est à vous de les chiffrer avant de les y déposer. Il faut regarder aussi si les données sont accessibles sans connexion. Avoir une sauvegarde ailleurs parce que si les données ne sont que sur le Cloud et qu’elles sont compromises par un ransomware ou volées par un pirate, elles seront définitivement perdues.
On peut également configurer des droits en fonction des utilisateurs.
Une autre solution est de choisir un Cloud privé, où l’hébergeur ne partagera pas le serveur entre plusieurs entreprises.
Pour l’instant, les responsabilités sont assez complexes à évaluer. En fonction du type, du niveau, du degré de contrôle du client, de celui du prestataire, du degré de transparence, il peut y avoir une coresponsabilité entre le client et le fournisseur de Cloud, ou une responsabilité totale de l’un ou de l’autre. De ce fait, les assurances privées (et donc un nouveau poids financier) fleurissent.
Idéalement, d’ici quelques années, on peut espérer une législation qui va normaliser les contrats afin de permettre une meilleure lisibilité et peu de mauvaises surprises, des partenariats entre entreprises, Cloud, et droit qui sécuriseront les services, et permettront, par exemple, la réversibilité du contrat (il arrive que des clients en fin de contrat ou choisissant de changer d’hébergeur ne se voient pas restituer leurs données.)
L’IOT est présent partout : agriculture, domotique, santé, loisir, formation, industrie… il existe des centaines de milliers d’objets différents, mais qui ont souvent un point commun : un gros manque de sécurité quant aux données qu’ils gèrent et transfèrent. Du pèse-personne relié à une application de suivi au patch permettant la visualisation et l’accompagnement dans la gestion de l’insuline en passant par le pacemaker connecté, tout devient relié à Internet. Chaussures connectées, drone, réfrigérateur, balance, couches pour bébés, oreillettes sans fil, assistant personnel, le quotidien devient parsemé d’éléments physiques dont le but est souvent le même : nous aider. Les données sont traitées, analysées, stockées, parfois pour être interprétées afin d’améliorer la suite, par exemple en proposant par défaut quelque chose de plus adapté ou de plus proche au niveau des attentes. Les voitures sont également un gros enjeu actuellement.
Une prise de conscience des utilisateurs semble émerger. La possibilité que des données sensibles soient exploitées, y compris quand elles touchent des domaines sensibles (la santé, les enfants) commence à interpeller et agacer. Près d’un consommateur sur deux est prêt à payer plus cher s’il a l’assurance que ses données seront sécurisées ou mieux, non partagées avec un tiers.
Le système de transfert de données va dépendre de l’objet lui-même :
– RFID : radio frequency identification, soit l’identification par radio fréquence, permet d’identifier des objets ou des personnes. Ces étiquettes ou puces sont en lecture ou en lecture/écriture.
– Bluetooth
– Wifi
– NFC : near field communication, soit la communication dans un champ proche. Cette technologie fonctionne avec un champ d’action assez court, puisqu’elle utilise les ondes courtes. On peut l’utiliser pour des paiements ou pour les cartes de transport (Navigo utilise les NFC).
Selon Jack Barnaby, black hat devenu white hat, a révélé en 2012 qu’il était possible de récupérer et de réécrire des informations sur un pacemaker. Il est à noter que l’année suivante, quelques jours avant une nouvelle conférence sur le piratage des implants médicaux (il a également réussi à pirater des pompes à insulines, ce qui pourrait donner lieu à l’injection d’une dose létale), ce chercheur a été retrouvé mort d’une overdose…
Environ 60 000 personnes se font implanter un pacemaker chaque année en France. Ce petit appareil est contrôlé et réglé à l’aide d’une connexion Bluetooth (ou par ondes RFID, des ondes radio, pour les modèles plus anciens).
Un nouveau code peut être préparé et envoyé au pacemaker via cette connexion grâce à un autre objet connecté (le test a été fait depuis… un réfrigérateur !). Il se pourrait même qu’une réécriture sur le pacemaker d’un patient puisse se transmettre aux porteurs qu’il croiserait.
On estime à 8 000 le nombre de bugs ou failles possibles, sur l’ensemble des quatre marques les plus distribuées.
La faille principale est que le pacemaker ne demande aucune authentification pour y accéder. Les données ne sont pas forcément chiffrées, et on peut donc parfois facilement accéder aux informations du patient.
La fréquence du pacemaker est de 400 MHz, les quatre fabricants principaux ont des produits qui sont assez similaires sur le plan technique. La plupart nécessitent un « jeton » pour être modifié, qui souvent est numéroté comme le numéro de série du pacemaker. Or l’information sur le numéro de série est récupérable par une requête envoyée par fréquence radio. La communication avec le pacemaker passe par une application. L’application contient les informations, les commandes, mais aussi la structure télémétrique permettant de reprogrammer le pacemaker en cas de besoin.
Des pacemakers et les applications afférentes sont disponibles sur Internet pour quelques centaines à quelques milliers d’euros en fonction du modèle. Il a suffi de quatre mois de recherches à un groupe de chercheurs français pour comprendre la programmation du pacemaker et le reprogrammer à leur souhait.
Une première faille est la disponibilité, puisque le « connecté » de l’objet connecté dépend justement de la connexion.
Le cabinet Gartner estime que d’ici 2020, 25 % des attaques seront dirigées directement vers des objets connectés.
Par sa taille, sa puissance de traitement, son petit processeur et sa petite mémoire, l’objet connecté est bien souvent très peu sécurisé, puisque, selon un mythe répandu, un système supplémentaire pour sécuriser (algorithme, service) y prendrait trop de place, alors que cela serait possible. De fait, les données sont souvent non cryptées. Pire encore, l’utilisateur ne prend presque jamais en compte cette nouvelle menace. Le risque de la donnée volée semble peu impactant sur la vie de la victime, pourtant cette information a un coût (si elle est revendue ou exploitée) ou elle peut être utilisée contre son propriétaire. Le pacemaker peut, par exemple, être commandé à distance. La voiture autonome peut être conduite à distance, ou simplement l’ouverture ou la fermeture à distance par clé peut être interceptée, enregistrée, puis rejouée. Il existe également des applications permettant d’encoder des cartes permettant de faire démarrer la voiture, et donc de la voler.
La loi, trop lente par rapport à l’avancée des technologies et des menaces qui leur sont propres, n’engage en général que peu la responsabilité des fabricants d’objets connectés. Pour l’instant, l’article 226-17 du Code pénal est le seul qui puisse être réellement applicable à ce sujet, qui indique que le non-respect de l’obligation de sécurité imposée à tout traitement de données à caractère personnel est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Si une personne morale est en cause, l’amende peut être multipliée par 5 et atteindre jusqu’à 1 500 000 €.
Beaucoup d’objets n’ont pas la possibilité d’être mis à jour, ne peuvent intégrer un patch, ou ne peuvent avoir leur identifiant/mot de passe modifié. En novembre, une société a annoncé être en mesure de pouvoir pirater un avion à distance. Or un avion coûterait une fortune à patcher.
Les technologies NFC, désormais disponibles sur les Smartphones, sont assez sensibles, puisque la technologie permet l’envoi d’informations concernant l’utilisateur, or peut-être que ces informations sont sensibles et devraient être protégées par la Loi Informatique et Libertés.
Selon McAfee, dans son rapport de novembre 2016, les menaces les plus probables pour les objets connectés sont les suivantes :
– L’apparition de ransomware sur des objets connectés et non plus seulement sur l’ordinateur ;
– Le piratage par les activistes ;
– Les attaques sur des infrastructures critiques (énergie, santé, industrie) ;
– Les données touchant la vie privée vont de plus en plus devenir publiques.
La sécurité se joue à différents niveaux : l’objet lui-même, les données qu’il contient, les données au moment du transfert, les données au niveau de la base de données.
Une étude de 2015, « Global consumer trust », indique que plus d’un tiers des répondants avaient eu un problème de sécurité avec un objet connecté.
Comme pour le Cloud, les bases de données elles-mêmes restent un risque, pour la confidentialité, mais aussi pour l’intégrité, puisque le lieu géographique des serveurs va donner lieu à une législation spécifique.
Les drones commencent à entrer doucement dans nos vies, sans qu’on n’y prête réellement attention. Pourtant l’ampleur du mouvement devrait devenir exponentielle : UPS et Amazon ont annoncé que les livraisons auraient lieu par drone. De même, de nombreux drones sont utilisés pour la cartographie, pour la photographie, ou simplement pour le jeu. Or ces drones peuvent être utilisés pour des activités bien moins légales, par exemple le survol de zones non autorisées ou l’espionnage, parfois même dans le but d’une attaque de sécurité à l’intérieur de l’entreprise.
Les drones peuvent aussi être piratés par l’exploitation de failles logicielles, de ports ouverts, failles qui souvent pourraient être résolues par un peu plus d’attention à la sécurité. Le drone est alors pilotable par quelqu’un d’autre que le propriétaire aux manettes.
De nombreux systèmes de paiements sont apparus ces dernières années, bouleversant les habitudes, mais aussi la sécurité qui était développée. Il y a aujourd’hui 16 milliards de transactions en France par an. 9 Français sur 10 achètent sur Internet. Déjà, la fin de la monnaie est annoncée, pourtant la fiabilité des autres types de paiement ne semble toujours n’être pas optimum.
Les paiements en ligne, plus de 900 millions de transactions en France, sont un outil plébiscité par les Français. Pourtant, certains sites continuent de proposer une sécurité tout à fait limitée (voire inexistante). Le stockage même de ces données au niveau de leurs bases de données n’est pas toujours protégé. Ainsi il est parfois possible d’accéder à la base de données par injection SQL et trouver des données stockées concernant les paiements en « presque libre accès ». D’autres sites, permettant de passer par un tiers tel Paypal, ne sécurisent que peu les transactions, et les comptes Paypal peuvent alors être compromis. Le paiement sans contact mobile via Smartphone (ou par carte) avec la technologie NFC, a vu rapidement arriver en miroir des appareils permettant au pirate de débiter, en se collant à sa victime, quelques euros, le tout configuré au préalable. Les paiements par tiers (Paypal, Alipay) semblent sécurisés puisqu’ils proposent une « sécurité acheteur » avec des garanties, mais ces sites sont tout à fait piratables dans le sens où les informations de connexions peuvent être récupérées (par vol ou ingénierie sociale) et qu’il n’est pas demandé une confirmation par un deuxième mode de connexion. De plus, Paypal a déjà été victime d’une faille qui permettait au pirate de vider sans difficulté le compte en banque du propriétaire du compte.
Les paiements par Smartphone (Applepay, Paylib, Google Wallet) ont également été victimes de piratage, en effet le chiffrement a laissé parfois à désirer et l’utilisation de la montre connectée met à mal toutes les sécurités qui pouvaient subsister. En effet, il est difficile d’intégrer de la sécurité dans un si petit outil, ni non plus de chiffrement.
Le transfert d’argent par sms est également d’actualité, avec une angoisse du côté utilisateur alors qu’elle utilise une vingtaine de contrôle à chaque transfert.
Des solutions de sécurité commencent à apparaître, telle Ethoca, mais seront-elles mises en place ?
Les types de paiements évoluent rapidement, certains systèmes ne perdurent pas (tel le QR code), d’autres sont peu connus, mais devraient évoluer (le sepamail, permettant l’autorisation de virement, sepa, par mail au lieu d’un courrier sepa signé manuellement), d’autres vont rapidement apparaître (l’étiquette portable, pouvant être insérée sur un petit bracelet par exemple) la sécurité est donc un véritable enjeu… qui ne suit pourtant pas aussi rapidement les évolutions, ni les nouvelles techniques de piratages, toujours plus rapides.
Pour les cartes sans contact, les protéger par une pochette spécifique est déjà un grand pas. Pour les autres types de paiement, c’est assez difficile.
Faire une bonne veille technologique axée sur ce sujet est le seul rempart efficace pour le moment. Exclure tous les sites dont la sécurité est difficilement vérifiable (pas de https est le cas minimum).
Également, toujours former et informer afin que l’utilisateur soit en alerte active et non passive, et qu’il signale chaque anomalie.
Si c’est possible, en entreprise, mettre en place pour les gros virements des procédures précises. On peut également placer des seuils de sortie.
AET : Advanced Evasion Threat. À différencier des APT, il s’agit d’utiliser de façon combinée différents outils et méthodes dans le but d’entrer sans être repéré. Si l’attaque est menée dans le temps, on va parler d’APT. Le terme évasion ne concerne pas la sortie des informations, mais la création de la porte d’entrée, de la faille, qui permettra ensuite l’extraction des données.
IOT : Internet Of Things — Internet des objets : ensemble des objets connectés à Internet, mais également à son environnement. Bruxelles estime qu’en 2020, il y en aura 6 milliards, Gartner en envisage plus de 13 milliards, Cisco en voit 50 milliards (soit 7 par habitant). 45 % des Français, selon une étude Opinion Way de 2017, estiment que les objets connectés sont une révolution au même titre que l’arrivée d’Internet. Montres connectées, bracelets traquant l’activité et le sommeil, patch cutané de test de glycémie, voiture, maison, ils sont déjà partout et devraient nous entourer dans notre quotidien sans que nous en soyons réellement conscients. Ces objets peuvent s’interconnecter, transmettre des informations qui seront ensuite traitées par des logiciels poussés en informatique décisionnelle. Ces objets sont très souvent peu sécurisés. Des milliards d’informations sont donc stockées, issues de ces objets.
APT: Advanced Persistant Threat
Qui va doucement va sûrement
Depuis quelques années, l’on voit arriver des menaces assez difficiles à détecter. En effet, elles combinent plusieurs méthodes (ingénierie sociale, phishing, ransomware…), à différents niveaux (humain, matériel, logiciel), mais surtout s’étalant dans le temps. 21 % des entreprises disent avoir été la cible d’une telle attaque et 63 % pensent qu’il s’agit d’une question de temps avant que ça ne leur arrive, selon une étude de Trendmicro.
Leur but peut être financier, de l’espionnage, de pouvoir entacher plus tard la réputation de l’entreprise, ou bien pire (nucléaire, transports).
Par exemple une entreprise, victime d’une APT, a découvert que l’une de ses inventions, qu’ils allaient commercialiser, avait été volée, fabriquée et vendue en Chine.Son nom, menace avancée persistante, insiste bien sur le fait que l’attaque est avancée, et va donc utiliser des moyens techniques plus ou moins élaborés, notamment pour contourner et leurrer les IPS et les IDS sur la durée (pour la définition d’IDS et IPS, voir le chapitre sur « empêcher les intrusions réseau »). Si les outils utilisés ne sont pas forcément très évolués, la combinaison de plusieurs d’entre eux rend l’attaque avancée. Aussi, l’alliance de ces différentes combinaisons avec différentes méthodes de piratage dont l’action est plus humaine que générée, permet de pénétrer de façon totalement clandestine le réseau ciblé.
Elle est persistante parce que les pirates vont prendre leur temps (jusqu’à plusieurs années) afin de ne pas être repérés.
On associe souvent ces menaces à des attaques étatiques ou visant des entreprises de très haute notoriété.
Parmi les attaques connues, l’opération Aurora par laquelle la République Populaire de Chine aurait visé de nombreuses entreprises américaines à portée mondiale, comme Google.
Également Stuxnet, attaque attribuée aux États-Unis afin de pirater, notamment à l’aide d’un ver, le programme nucléaire de l’Iran.
Elles sont également le fait de groupes militants ou issus du crime organisé. Les cibles sont souvent des entreprises travaillant avec des données sensibles (États, entreprises tournées vers les télécommunications, l’énergie, l’industrie…).
Les acteurs de l’attaque sont formés à travailler sur la durée tout en restant à chaque instant très discrets. Les script-kiddies n’ont pas leur place sur ce genre d’attaque.
Bien que tous les moyens soient exploités, c’est souvent grâce à la faille humaine que les pirates réussissent à s’infiltrer de la façon la plus efficace. En effet, ils vont préférer utiliser un compte compromis (intrusion dans la machine ou récupération d’identifiants grâce à un logiciel espion type keylogger ou troyen) qui leur permettra de rester discrets.
Une attaque scénarisée
Digne d’un grand film d’action ou d’une véritable guerre, l’APT va être mise en place selon un scénario très minutieux : – Étape de reconnaissance ► récupération d’informations concernant la cible : organigrammes, schémas réseaux, wifis disponibles, captures réseaux, informations sur les employés (notamment via leurs réseaux sociaux), architecture physique, clients, partenaires, hébergeurs,
– Étape de stratégie d’attaque ► les acteurs se coordonnent, échangent leurs données, testent les points d’entrée les plus pertinents, configurent leurs logiciels ou outils, adaptent leurs méthodes en fonction de leur cible.
– Étape d’intrusion initiale ► (on cible souvent un « patient 0 » qui permettra de contaminer les autres). Souvent, la méthode privilégiée est le phishing. Cette méthode permettra, sur l’hôte, de récupérer des informations plus sensibles, mais aussi des identifiants et mots de passe alors utilisables directement et surtout discrètement sur le réseau.
– Étape de déploiement ► les différents outils sont déployés, les différentes méthodes sont appliquées, le but étant de s’étaler dans le réseau, tout en restant discrets et en gardant active la connexion entre la cible et eux. Parfois les pirates injectent de toutes petites trames de données les unes après les autres afin que les logiciels de détection ne s’alarment pas.
– Étape d’extension ► les différents systèmes sont pénétrés, ils cherchent de nouvelles cibles, développent leurs méthodes, outils et codes pour ces nouvelles victimes.
– Étape d’exfiltration des données ► les données récupérées sont sorties discrètement pour être analysées et exploitées ou pour servir à des attaques de plus grande ampleur. Les attaquants veillent à effacer au mieux leurs traces, afin de soit pouvoir attaquer de nouveau, soit aller à la cible suivante sans alerter qui que ce soit.
Ce type de menace est en vogue parce que plus il est discret, plus il est efficace et plus la récolte d’informations sera bonne.
Comment éviter une APT ou limiter son efficacité ?
La première, et la plus importante des solutions, est toujours la même : la formation (et l’information). En effet, nous avons vu que la porte d’entrée (le patient 0) est toujours due à une erreur humaine. Un phishing, le plus souvent, fait mouche. Si les collaborateurs sont sensibilisés très précisément sur ces risques, avec des piqûres de rappel très fréquentes, et une responsabilisation adéquate, le risque d’ouvrir cette porte diminue. Les vendeurs de solutions de sécurité prévoient également des suites configurables pour éviter les APT, en adaptant à l’entreprise selon son domaine, sa configuration, son risque. Utilisant parfois des serveurs AAA (Authentification — Authorization — Accounting) permettent de centraliser les types d’autorisations en fonction du niveau d’habilitation de l’utilisateur, l’authentification en centralisant tous les comptes utilisateurs et la traçabilité (accounting) pour garder un journal de toutes les activités.
Un bon audit peut déjà déterminer quels sont les risques et les faiblesses visibles (voir le chapitre sur les systèmes de détection des intrusions).
Ensuite, vérifier à l’aide d’IDS et d’IPS, ainsi que de la supervision, ce qui circule sur le réseau, en prenant soin de cibler certains ports et analyser ceux qui doivent rester ouverts tout en filtrant bien les transferts. Des filtres sur les serveurs web peuvent être configurés, puisque certaines attaques prévoient que l’étape d’exfiltration soit faite par mail. Mais attention, la première intrusion est fatale : une fois à l’intérieur, les outils et méthodes utilisées sont souvent des éléments considérés comme fiables par les systèmes de sécurité. Il faut donc aller au-delà.
On peut utiliser des ordinateurs zombis, ou pot de miel (honey pot) virtuels ou physiques dont le rôle est d’avertir en cas de sollicitation (l’ordinateur ne sert à rien, donc s’il est interrogé ou sollicité, c’est probablement pour le tester, récolter des informations, tenter de s’introduire).
Enfin préparer un plan de reprise d’activité et un plan de crise au cas où le pire serait arrivé.
Cloud computing
Des centres de données qui appâtent
Actuellement, 80 % des entreprises disent tirer une partie de leurs revenus d’applications par le Cloud et seuls 10 % d’entre elles n’utilisent pas du tout ce service. En 2020, on prévoit la création de 2,5 millions d’emplois liés au Cloud pour un objectif financier de 160 milliards d’euros par an.
Les centres de données et les entreprises proposant du Cloud sont une cible privilégiée. En effet, du particulier à la très grande entreprise, la plupart hébergent leurs données, leurs applications ou toute leur infrastructure en ligne, comme les studios Disney. De ce fait, les entreprises collaborant échangent leurs données en passant directement par le Cloud, transitant par différentes entreprises, différents acteurs (en moyenne 588 en Europe). Ce maillage présente donc, à chaque nouvelle passerelle, à chaque nouvel intermédiaire, une faille possible.
Une sécurité plutôt bien équilibrée
La sécurité est pour le moment plutôt bien assurée, à tous les maillons de la chaîne. Malgré tout, les données les plus importantes sont conservées à l’intérieur de l’entreprise elle-même, par peur d’un vol. Les centres sont des forteresses multipliant les authentifications, que ce soit pour accéder aux baies contenant les serveurs ou disques, ou pour accéder aux données de l’extérieur. De nombreux capteurs d’humidité, de température, de sismicité sont présents, la faille physique est donc assez peu plausible si le protagoniste est une entreprise de confiance et réputée.
Les IPS et les IDS sont déployés à tous les niveaux, chaque machine est une tour d’ivoire. L’enjeu est de taille et les propriétaires des Cloud en ont pris la mesure.
Les failles
La sécurité n’a pas que la confidentialité comme objectif, elle a également la disponibilité. Or la mise en place de multiples outils de détection, de vérification, de cryptographie va possiblement ralentir les traitements et les flux. Et la rapidité est un critère professionnel important, les clients attendent une très haute disponibilité. La perte de données est également un risque à prendre en compte et à anticiper. Par exemple Google perd, chaque année, des comptes ou des données (en 2011, près de 150 000 comptes Gmail ont été vidés ; en 2015 la foudre a fait perdre des données sur l’un de ses datacenters situé en Belgique).
Un autre risque est le fait que, comme dit précédemment, plusieurs acteurs interviennent pour un même service, parfois faisant appel à des sous-traitants, et la sécurité de ces sous-traitants n’est pas forcément celle pour laquelle l’utilisateur avait signé.
La séparation entre les serveurs est également un point assez flou. En effet, si un ransomware venait à toucher une des parties du Cloud, tout le Cloud serait-il affecté ? D’autres entreprises peuvent-elles accéder à mes données si elles sont sur le même serveur ?
Le déni de service semble aussi être l’une des attaques les plus répandues et qui devraient perdurer (avec demande de rançon pour arrêter), touchant ainsi la disponibilité.
Une autre faille, assez difficile à endiguer, est, toujours, le risque humain. Si un utilisateur partage ses données, se connecte d’un réseau non sécurisé ou compromis, s’il dévoile son mot de passe ou partage des informations permettant de le retrouver, alors la sécurité des données stockées est compromise. L’utilisateur malveillant détruisant volontairement ou ouvrant l’accès de lui-même est toujours possible.
Rappelons également que les données qui sont stockées dans un pays sont soumises aux lois de ce pays, et dans certains pays, la législation est assez peu développée dans ce domaine, notamment en matière de protection ou de confidentialité. Par exemple le Patriot Act, aux États-Unis, autorise les autorités à visualiser les données stockées dans un datacenter. Cette loi est valable pour les entreprises hébergeant sur le sol américain, mais aussi pour les données hébergées en Europe par des sociétés de droit américain, sans autorisation préalable requise et sans même notifier les clients.
Comment mieux sécuriser mon Cloud ?
La première vérification à faire est de contrôler la configuration de la sécurité de ses hébergeurs. Puis regarder la localisation physique des serveurs et la législation dans ces pays. Ensuite, il faut bien lire les contrats qui vous lient à l’entreprise proposant le Cloud. Ils peuvent par exemple se permettre, puisqu’ils l’ont écrit, de changer la localisation des serveurs ou la sécurité utilisée. L’entreprise doit respecter les recommandations de la norme ISO 27001. Le Cloud doit aussi proposer le chiffrement des données (c’est le cas de Google, mais pas d’Apple par exemple), ou alors c’est à vous de les chiffrer avant de les y déposer. Il faut regarder aussi si les données sont accessibles sans connexion. Avoir une sauvegarde ailleurs parce que si les données ne sont que sur le Cloud et qu’elles sont compromises par un ransomware ou volées par un pirate, elles seront définitivement perdues. On peut également configurer des droits en fonction des utilisateurs.
Une autre solution est de choisir un Cloud privé, où l’hébergeur ne partagera pas le serveur entre plusieurs entreprises.
Pour l’instant, les responsabilités sont assez complexes à évaluer. En fonction du type, du niveau, du degré de contrôle du client, de celui du prestataire, du degré de transparence, il peut y avoir une coresponsabilité entre le client et le fournisseur de Cloud, ou une responsabilité totale de l’un ou de l’autre. De ce fait, les assurances privées (et donc un nouveau poids financier) fleurissent.
Idéalement, d’ici quelques années, on peut espérer une législation qui va normaliser les contrats afin de permettre une meilleure lisibilité et peu de mauvaises surprises, des partenariats entre entreprises, Cloud, et droit qui sécuriseront les services, et permettront, par exemple, la réversibilité du contrat (il arrive que des clients en fin de contrat ou choisissant de changer d’hébergeur ne se voient pas restituer leurs données.)
Objets connectés
Du bracelet à l’assistant d’appartement
L’IOT est présent partout : agriculture, domotique, santé, loisir, formation, industrie… il existe des centaines de milliers d’objets différents, mais qui ont souvent un point commun : un gros manque de sécurité quant aux données qu’ils gèrent et transfèrent. Du pèse-personne relié à une application de suivi au patch permettant la visualisation et l’accompagnement dans la gestion de l’insuline en passant par le pacemaker connecté, tout devient relié à Internet. Chaussures connectées, drone, réfrigérateur, balance, couches pour bébés, oreillettes sans fil, assistant personnel, le quotidien devient parsemé d’éléments physiques dont le but est souvent le même : nous aider. Les données sont traitées, analysées, stockées, parfois pour être interprétées afin d’améliorer la suite, par exemple en proposant par défaut quelque chose de plus adapté ou de plus proche au niveau des attentes. Les voitures sont également un gros enjeu actuellement. Une prise de conscience des utilisateurs semble émerger. La possibilité que des données sensibles soient exploitées, y compris quand elles touchent des domaines sensibles (la santé, les enfants) commence à interpeller et agacer. Près d’un consommateur sur deux est prêt à payer plus cher s’il a l’assurance que ses données seront sécurisées ou mieux, non partagées avec un tiers.
Le système de transfert de données va dépendre de l’objet lui-même :
– RFID : radio frequency identification, soit l’identification par radio fréquence, permet d’identifier des objets ou des personnes. Ces étiquettes ou puces sont en lecture ou en lecture/écriture.
– Bluetooth
– Wifi
– NFC : near field communication, soit la communication dans un champ proche. Cette technologie fonctionne avec un champ d’action assez court, puisqu’elle utilise les ondes courtes. On peut l’utiliser pour des paiements ou pour les cartes de transport (Navigo utilise les NFC).
Un exemple réel : le piratage du pacemaker
Selon Jack Barnaby, black hat devenu white hat, a révélé en 2012 qu’il était possible de récupérer et de réécrire des informations sur un pacemaker. Il est à noter que l’année suivante, quelques jours avant une nouvelle conférence sur le piratage des implants médicaux (il a également réussi à pirater des pompes à insulines, ce qui pourrait donner lieu à l’injection d’une dose létale), ce chercheur a été retrouvé mort d’une overdose… Environ 60 000 personnes se font implanter un pacemaker chaque année en France. Ce petit appareil est contrôlé et réglé à l’aide d’une connexion Bluetooth (ou par ondes RFID, des ondes radio, pour les modèles plus anciens).
Un nouveau code peut être préparé et envoyé au pacemaker via cette connexion grâce à un autre objet connecté (le test a été fait depuis… un réfrigérateur !). Il se pourrait même qu’une réécriture sur le pacemaker d’un patient puisse se transmettre aux porteurs qu’il croiserait.
On estime à 8 000 le nombre de bugs ou failles possibles, sur l’ensemble des quatre marques les plus distribuées.
La faille principale est que le pacemaker ne demande aucune authentification pour y accéder. Les données ne sont pas forcément chiffrées, et on peut donc parfois facilement accéder aux informations du patient.
La fréquence du pacemaker est de 400 MHz, les quatre fabricants principaux ont des produits qui sont assez similaires sur le plan technique. La plupart nécessitent un « jeton » pour être modifié, qui souvent est numéroté comme le numéro de série du pacemaker. Or l’information sur le numéro de série est récupérable par une requête envoyée par fréquence radio. La communication avec le pacemaker passe par une application. L’application contient les informations, les commandes, mais aussi la structure télémétrique permettant de reprogrammer le pacemaker en cas de besoin.
Des pacemakers et les applications afférentes sont disponibles sur Internet pour quelques centaines à quelques milliers d’euros en fonction du modèle. Il a suffi de quatre mois de recherches à un groupe de chercheurs français pour comprendre la programmation du pacemaker et le reprogrammer à leur souhait.
Une sécurité bien souvent défaillante, des risques immenses
Une première faille est la disponibilité, puisque le « connecté » de l’objet connecté dépend justement de la connexion. Le cabinet Gartner estime que d’ici 2020, 25 % des attaques seront dirigées directement vers des objets connectés.
Par sa taille, sa puissance de traitement, son petit processeur et sa petite mémoire, l’objet connecté est bien souvent très peu sécurisé, puisque, selon un mythe répandu, un système supplémentaire pour sécuriser (algorithme, service) y prendrait trop de place, alors que cela serait possible. De fait, les données sont souvent non cryptées. Pire encore, l’utilisateur ne prend presque jamais en compte cette nouvelle menace. Le risque de la donnée volée semble peu impactant sur la vie de la victime, pourtant cette information a un coût (si elle est revendue ou exploitée) ou elle peut être utilisée contre son propriétaire. Le pacemaker peut, par exemple, être commandé à distance. La voiture autonome peut être conduite à distance, ou simplement l’ouverture ou la fermeture à distance par clé peut être interceptée, enregistrée, puis rejouée. Il existe également des applications permettant d’encoder des cartes permettant de faire démarrer la voiture, et donc de la voler.
La loi, trop lente par rapport à l’avancée des technologies et des menaces qui leur sont propres, n’engage en général que peu la responsabilité des fabricants d’objets connectés. Pour l’instant, l’article 226-17 du Code pénal est le seul qui puisse être réellement applicable à ce sujet, qui indique que le non-respect de l’obligation de sécurité imposée à tout traitement de données à caractère personnel est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende. Si une personne morale est en cause, l’amende peut être multipliée par 5 et atteindre jusqu’à 1 500 000 €.
Beaucoup d’objets n’ont pas la possibilité d’être mis à jour, ne peuvent intégrer un patch, ou ne peuvent avoir leur identifiant/mot de passe modifié. En novembre, une société a annoncé être en mesure de pouvoir pirater un avion à distance. Or un avion coûterait une fortune à patcher.
Les technologies NFC, désormais disponibles sur les Smartphones, sont assez sensibles, puisque la technologie permet l’envoi d’informations concernant l’utilisateur, or peut-être que ces informations sont sensibles et devraient être protégées par la Loi Informatique et Libertés.
Selon McAfee, dans son rapport de novembre 2016, les menaces les plus probables pour les objets connectés sont les suivantes :
– L’apparition de ransomware sur des objets connectés et non plus seulement sur l’ordinateur ;
– Le piratage par les activistes ;
– Les attaques sur des infrastructures critiques (énergie, santé, industrie) ;
– Les données touchant la vie privée vont de plus en plus devenir publiques.
La sécurité se joue à différents niveaux : l’objet lui-même, les données qu’il contient, les données au moment du transfert, les données au niveau de la base de données.
Une étude de 2015, « Global consumer trust », indique que plus d’un tiers des répondants avaient eu un problème de sécurité avec un objet connecté.
Comme pour le Cloud, les bases de données elles-mêmes restent un risque, pour la confidentialité, mais aussi pour l’intégrité, puisque le lieu géographique des serveurs va donner lieu à une législation spécifique.
Le cas du drone jacking
Les drones commencent à entrer doucement dans nos vies, sans qu’on n’y prête réellement attention. Pourtant l’ampleur du mouvement devrait devenir exponentielle : UPS et Amazon ont annoncé que les livraisons auraient lieu par drone. De même, de nombreux drones sont utilisés pour la cartographie, pour la photographie, ou simplement pour le jeu. Or ces drones peuvent être utilisés pour des activités bien moins légales, par exemple le survol de zones non autorisées ou l’espionnage, parfois même dans le but d’une attaque de sécurité à l’intérieur de l’entreprise. Les drones peuvent aussi être piratés par l’exploitation de failles logicielles, de ports ouverts, failles qui souvent pourraient être résolues par un peu plus d’attention à la sécurité. Le drone est alors pilotable par quelqu’un d’autre que le propriétaire aux manettes.
Comment augmenter la sécurité de mes objets connectés ?
Les objets peuvent la plupart du temps être mis à jour, il faut absolument le faire si c’est possible, ou vérifier avant l’achat que c’est une possibilité offerte. Modifier les identifiants donnés par défaut (par exemple pour les caméras de sécurité où les couples d’identifiants/mots de passe par constructeur sont connus). Se renseigner sur le chiffrement des données ou sur la sécurité lors des transferts. Surveiller les IP de connexion, ou le nombre de tentatives échouées, ou le nombre de sessions ouvertes pour un même compte. Imposer aux employés à une politique de mot de passe stricte (modification de temps en temps, une majuscule, au moins 10 caractères, au moins un chiffre, au moins un caractère spécial…) est également un outil sûr. Nous en reparlerons dans la sensibilisation.
Nouveaux systèmes de paiement
Nouveaux systèmes, nouvelles attentes en matière de sécurité
De nombreux systèmes de paiements sont apparus ces dernières années, bouleversant les habitudes, mais aussi la sécurité qui était développée. Il y a aujourd’hui 16 milliards de transactions en France par an. 9 Français sur 10 achètent sur Internet. Déjà, la fin de la monnaie est annoncée, pourtant la fiabilité des autres types de paiement ne semble toujours n’être pas optimum. Les paiements en ligne, plus de 900 millions de transactions en France, sont un outil plébiscité par les Français. Pourtant, certains sites continuent de proposer une sécurité tout à fait limitée (voire inexistante). Le stockage même de ces données au niveau de leurs bases de données n’est pas toujours protégé. Ainsi il est parfois possible d’accéder à la base de données par injection SQL et trouver des données stockées concernant les paiements en « presque libre accès ». D’autres sites, permettant de passer par un tiers tel Paypal, ne sécurisent que peu les transactions, et les comptes Paypal peuvent alors être compromis. Le paiement sans contact mobile via Smartphone (ou par carte) avec la technologie NFC, a vu rapidement arriver en miroir des appareils permettant au pirate de débiter, en se collant à sa victime, quelques euros, le tout configuré au préalable. Les paiements par tiers (Paypal, Alipay) semblent sécurisés puisqu’ils proposent une « sécurité acheteur » avec des garanties, mais ces sites sont tout à fait piratables dans le sens où les informations de connexions peuvent être récupérées (par vol ou ingénierie sociale) et qu’il n’est pas demandé une confirmation par un deuxième mode de connexion. De plus, Paypal a déjà été victime d’une faille qui permettait au pirate de vider sans difficulté le compte en banque du propriétaire du compte.
Les paiements par Smartphone (Applepay, Paylib, Google Wallet) ont également été victimes de piratage, en effet le chiffrement a laissé parfois à désirer et l’utilisation de la montre connectée met à mal toutes les sécurités qui pouvaient subsister. En effet, il est difficile d’intégrer de la sécurité dans un si petit outil, ni non plus de chiffrement.
Le transfert d’argent par sms est également d’actualité, avec une angoisse du côté utilisateur alors qu’elle utilise une vingtaine de contrôle à chaque transfert.
Des solutions de sécurité commencent à apparaître, telle Ethoca, mais seront-elles mises en place ?
Les types de paiements évoluent rapidement, certains systèmes ne perdurent pas (tel le QR code), d’autres sont peu connus, mais devraient évoluer (le sepamail, permettant l’autorisation de virement, sepa, par mail au lieu d’un courrier sepa signé manuellement), d’autres vont rapidement apparaître (l’étiquette portable, pouvant être insérée sur un petit bracelet par exemple) la sécurité est donc un véritable enjeu… qui ne suit pourtant pas aussi rapidement les évolutions, ni les nouvelles techniques de piratages, toujours plus rapides.
Observatoire de la sécurité des nouveaux moyens de paiement
Depuis avril 2017, l’OSNMP prend la suite de l’OSCP (observatoire de la sécurité des cartes de paiements) au sein de la Banque de France. Son rôle est de veiller au bon fonctionnement, surveiller l’efficacité de la sécurité existante, mais aussi de prévoir les futures failles possibles sur les moyens de paiements émergents. Les observateurs ont pour but final de protéger les différents acteurs d’une transaction.
Quelle sécurité pour les nouveaux paiements ?
Pour les cartes sans contact, les protéger par une pochette spécifique est déjà un grand pas. Pour les autres types de paiement, c’est assez difficile. Faire une bonne veille technologique axée sur ce sujet est le seul rempart efficace pour le moment. Exclure tous les sites dont la sécurité est difficilement vérifiable (pas de https est le cas minimum).
Également, toujours former et informer afin que l’utilisateur soit en alerte active et non passive, et qu’il signale chaque anomalie.
Si c’est possible, en entreprise, mettre en place pour les gros virements des procédures précises. On peut également placer des seuils de sortie.
Mots clés
Cloud Computing : informatique dans les nuages, il s’agit du fait de stocker des données (Saas : Software as a Service, par exemple Dropbox, GoogleDrive, OneDrive), des suites logicielles (Paas : Plateform as a Service, soit les logiciels accessibles en ligne, par exemple développement pour Visual Studio sans installer de logiciel, ou la suite en ligne d’Adobe) ou une infrastructure complète (Iaas : infrastructure as a Service). Le Cloud peut être public, c’est-à-dire que les serveurs sont fournis par un tiers et mutualisés entre tous les clients. Il peut être communautaire, c’est-à-dire que des organisations se sont regroupées pour le partage du serveur, que ce soit par activité, par exigence de sécurité, de dispositions réglementaires, géographiques. Il peut être privé, c’est-à-dire mis en place et géré par l’organisation elle-même. Enfin, il peut être hybride, c’est-à-dire une partie des traitements est public, l’autre privée.AET : Advanced Evasion Threat. À différencier des APT, il s’agit d’utiliser de façon combinée différents outils et méthodes dans le but d’entrer sans être repéré. Si l’attaque est menée dans le temps, on va parler d’APT. Le terme évasion ne concerne pas la sortie des informations, mais la création de la porte d’entrée, de la faille, qui permettra ensuite l’extraction des données.
IOT : Internet Of Things — Internet des objets : ensemble des objets connectés à Internet, mais également à son environnement. Bruxelles estime qu’en 2020, il y en aura 6 milliards, Gartner en envisage plus de 13 milliards, Cisco en voit 50 milliards (soit 7 par habitant). 45 % des Français, selon une étude Opinion Way de 2017, estiment que les objets connectés sont une révolution au même titre que l’arrivée d’Internet. Montres connectées, bracelets traquant l’activité et le sommeil, patch cutané de test de glycémie, voiture, maison, ils sont déjà partout et devraient nous entourer dans notre quotidien sans que nous en soyons réellement conscients. Ces objets peuvent s’interconnecter, transmettre des informations qui seront ensuite traitées par des logiciels poussés en informatique décisionnelle. Ces objets sont très souvent peu sécurisés. Des milliards d’informations sont donc stockées, issues de ces objets.
