Contacter l'auteur / Contact the author

Recherche dans ce site / Search in this site

 

Prévention du piratage informatique

Les menaces et vulnérabilités (II)

Pour pirater un ordinateur, une tablette ou même un smartphone, un pirate informatique peut simplement se rendre dans un boutique de matériel électronique ou d'espionnage et y faire ses emplettes. Il y trouvera des logiciels et des appareils d'analyses, parfois miniaturisés et imitant des objets banals faciles à dissimuler. S'il veut travailler à partir d'Internet, du réseau Wi-Fi ou 4G, il trouvera également sur Internet des webzines, des livres de référence ou des forums très bien documentés. Il trouvera enfin assez facilement sur le web des virus et autre Troyens qui l'aideront à scanner un ordinateur à la recherche de port d'accès et de services qu'il pourra exploiter à son avantage et à l'insu de sa victime.

On peut classer les risques liés à la cybercriminalité en fonction de la source ou de la cible de l'attaque :

Types de cybercrimes

Source de l'attaque Cible de l'attaque Exemple

L'ordinateur est l'objet du cybercrime : le pirate utilise un autre ordinateur pour lancer son attaque

Un ordinateur spécifique identifié

- Denial of Service (DoS), ping > 65 KB

- Piratage

- Ping de la mort

L'ordinateur est le sujet du crime : le pirate utilise un ordinateur pour commettre son cybercrime en visant un autre ordinateur

La cible peut ou ne pas être définie. Le pirate lance une attaque sans objectif précis

- DoS distribué

- Virus et bombe logique

- Coupure d'ordinateur

L'ordinateur sert d'outil au cybercrime : le pirate utilise un ordinateur pour commettre son cybercrime mais la cible n'est pas l'ordinateur

La cible est l'information ou les données contenues dans l'ordinateur

- Fraude

- Accès non autorisé

- Phishing

- Pharming

- Installation d'un enregistreur de frappe

L'ordinateur symbolise le cybercrime : le pirate leurre l'utilisateur d'un ordinateur pour obtenir des informations confidentielles.

La cible est l'utilisateur de l'ordinateur.

Méthodes de "social engineering" :

- Phishing

- Site web factice

- Scam et spam e-mails

- Faux CV destiné aux employeurs.

Pour chaque faille de sécurité, vulnérabilité ou menace, en accord avec la direction de l'entreprise, l'équipe assurant la sécurité informatique doit mettre en place des procédures de réponse et au besoin faire appel à une équipe d'intervention d'urgence (CERT) pour circonscrire et neutraliser le problème et rétablir la situation dans son état normal. 

Si le piratage a lieu à votre domicile, contactez immédiatement la police qui dispose parfois d'un service spécialisé dans ce type de criminaltié.

Lorsque les risques sont identifiés et qu'on a estimé leur probabilité (si le piratage est rare, il seul suffit pour tout perdre, donc l'impact potentiel élevé), il faut à présent définir les méthodes pour les réduire ou pour contrer les attaques et mettre en place les dispositifs adéquats afin que le pirate éventuel ne puisse ni atteindre les données de l'entreprise ni de son personnel (et aucun ordinateur à domicile).

Au sein d'une grande entreprise, le champ d'action des équipes chargées de la sécurité informatique est très étendu. Travaillant en collaboration avec les équipes IT et de la sécurité du personnel le cas échéant, le travail des employés de la sécurité informatique va de la découverte d'un virus, à une attaque détectée par un système de détection d'intrusion (IDS), en passant par un accès non autorisé, le vol hardware ou software, la brèche physique de sécurité, la détection de Troyens et autres logiciels espions sur l'ordinateur, la communication diffamatoire aux médias y compris les "buzz" (fausses annonces) sur les sites webs, etc.

Les accès logiques

Le contrôle des accès logiques est le premier moyen de gérer et de protéger les biens informatiques. Il consiste à gérer des droits d'accès ou des rôles (des permissions) sur des ressources. Mal configurés ou conservant les valeurs par défaut du constructeur, la personne privée ou l'entreprise s'expose à des risques allant des inconvénients mineurs,au vol de données ou d'argent sur les comptes bancaires à la coupure totale des ordinateurs ou des appareils périphériques.

Parmi ces risques citons : 

- La violation de la vie privée : un pirate surveille surnoisement une personne à distance, y compris en audio ou vidéo

- Les écoutes indiscrètes : effectuées à distance ou directement sur le réseau interne de l'entreprise

- La fuite de données : un employé égare une impression, une tape de production ou un backup

- Les virus et bombes logiques : leur activation va affecter les ressources du système, les services ou les applications 

- Les chevaux de Troie et autres "backdoors" : la porte d'entrée des pirates sur l'ordinateur

- Le "Denial of Service" : une attaque massive va interrompre les services de l'ordinateur

- Le "War driving" : l'interception des communications Wi-Fi depuis un poste distant mais proche équipé de moyens de décryptage des messages

- Le "Man in the Middle" : un pirate se place sur la ligne entre deux appareils autorisés pour intercepter leurs communications

- Le "Piggybacking" : un pirate suit de près une personne autorisée et essaye de se faufiler en même temps qu'elle à un portique de contrôle

- Les attaques asynchrones : elles caractérisent une attaque tirant profit des interruptions de jobs liées à l'accès à certaines ressources partagées. Le pirate s'insère pendant le cycle d'interruption du serveur

- Le "rounding down" : le fameux problème des arrondis dans les calculs financiers dont les décimales se perdent sur des comptes cachés.

Le "social engineering"

Le facteur humain représente le maillon faible de la chaîne de la sécurité informatique. Une société a beau installer les contre-mesures techniques les plus modernes et les plus efficaces comme des processus d'authentification, des firewalls, des détecteurs d'intrusions, des systèmes de cryptage ou des détecteurs laser, ils ne protégeront jamais les biens informatiques si un administrateur réseau ou de la sécurité informatique divulgue délibérément ou non les fichiers de configurations et les plans d'accès à une personne non autorisée. Et à ce sujet, tout pirate sait qu'une personne démotivée est une proie plus facile qu'une autre.

Il est donc impératif de contrôler les biens informatiques et de sensibiliser le personnel aux risques que représente la cybercriminalité, mais les risques potentiels de fuite d'information existeront toujours. Le but est de les réduire au minimum et au mieux de les supprimer ou de les neutraliser. 

Un pirate peut obtenir des informations confidentielles tout en discutant banalement avec des employés. Comme une taupe peut détruire une pelouse, dans le monde informatique une "taupe" ou un espion peut conduire une entreprise à sa perte. Comment réduire ce risque ou y remédier ?

Pour un cyberpirate, tous les supports de communication sont exploitables pour accéder à l'information, de la liaison WAP du GSM au smartphone relié par Wi-Fi à un serveur web interconnecté à un réseau d'entreprise.

L'information sensible étant dans la tête des individus, virtuelle et incontrôlable, l'entreprise a très peu de moyens de s'en prémunir si ce n'est en éduquant son personnel, en reconnaissant ses mérites et en le payant suffisamment afin qu'il ne soit pas tenté de vendre ses informations à la concurrence.

Il ne faut jamais oublier que le "social enginering" et le phishing (la pêche à l'information via votre messagerie par exemple) sont des méthodes qui ne coûtent pas cher aux pirates et qui peuvent parfois ouvrir des portes.

Les auditeurs informatiques insistent donc beaucoup auprès de la direction des entreprises sur l'éducation du personnel, au fait que chaque personne soit sensibilisée aux risques que présente la cybercriminalité et sur les manières d'éviter à moindre coût les principales attaques et autres brèches de sécurité.

Dans une entreprise informatisée, ces règles de bonne conduite commencent en n'égarant pas votre carte d'accès, en n'acceptant pas de laisser entrer une personne sans identifiant adéquat dans un lieu sécurisé, en bloquant l'accès à votre ordinateur quand vous faites une pause, en ne divulguant pas votre mot de passe et en ne l'écrivant pas sur un bout de papier caché au fond de votre tiroir ! Dans le domaine bancaire, cette formation est complétée par une sensibilisation à la déontologie et à la lutte contre le blanchiment d'argent (AML).

Parmi les risques liés au "social engineering" il y a deux techniques très connues :

- Le "phishing" : le pirate envoie à des victimes prises au hasard un e-mail reprenant la mise en page du site d'une entreprise connue, notamment d'une banque, en se faisant passer pour celle-ci et leur demande de cliquer sur un hyperlien. Si les victimes effectuent cette opération, elles seront en réalité redirigées vers un site factice a priori tout aussi officiel, sur lequel le pirate leur demandera de confirmer des informations personnelles sensibles, comme leur numéro de compte en banque ou de carte de crédit.

Aujourd'hui le "phishing" permet aux pirates de transmettre des virus informatiques et sert également d'outil d'espionnage industriel.

- Le "pharming" : alors que la victime a encodé correctement l’adresse Internet (URL) du site désiré, le pirate la connecte directement sur une page web factice en tous points identique au site officiel, où il va essayer de dérober des informations confidentielles. 

Ce type de fraude est rendu possible grâce à l’installation insidieuse d’un virus dit "Cheval de Troie" (Troyen) sur l'ordinateur de la victime. En fait, le pirate exploite le fichier "host" de l'ordinateur de la victime ou une vulnérabilité du logiciel du server DNS (servant à résoudre les noms de domaines en adresses IP).

Rappelons qu'à l'inverse des forums et des services de messageries publiques notamment, les entreprises du secteur financier ne demandent JAMAIS à leurs clients de confirmation d'inscription, d'identifiant, de mot de passe et autre numéro de compte par e-mail. Ce genre de confirmation ou de validation s'établit toujours par écrit, soit par courrier postal soit dans les bureaux de l'organisme financier.

Etant donné que vous ne donneriez jamais la clé de votre habitation à un inconnu ni le mot de passe permettant d'accéder à votre ordinateur ou à votre application bancaire sécurisée, la même règle s'applique au travail sur ordinateur (partagé ou non car un pirate peut très bien venir cambrioler votre habitation).

Un contrôle fort des accès logiques est primordial pour éviter de se faire piéger par un pirate. L'identification et l'authentification de l'utilisateur sont donc les premiers processus à mettre en place pour valider l'accès d'une personne tant aux bâtiments qu'au réseau d'une entreprise, qu'il travaille sur le site ou à distance.

Généralement un utilisateur s'identifie au moyen d'un identifiant unique (personal identification number ou code PIN) et d'un mot de passe fort (ensemble d'au moins 8 caractères alphanumériques contenant  des caractères minuscules et majuscules, des chiffres et parfois des caractères spéciaux, le système exigeant que le mot de passe soit changé au moins tous les 30 jours, l'accès de l'utilisateur étant bloqué après 3 tentatives infructueuses).

L'authentification à deux facteurs

Dans certaines conditions, cette méthode d'identification n'offre toutefois pas assez de sécurité. Pour réduire davantage le risque d'intrusion, la meilleure protection est l'authentification à deux facteurs. Elle est basée sur la combinaison de deux parmi les trois facteurs de reconnaissance individuelles suivants :

- ce que sait l'utilisateur : son identifiant et son mot de passe

- ce que possède l'utilisateur : sa smartcard, sa clé magnétique, un token, un doggle, etc.

- ce qu'est l'utilisateur : une de ses données biométriques (son empreinte palmaire ou digitale, le scan de son iris ou de sa rétine, la vérification de sa voix, de son visage, etc).

Toutefois, si vous devez accéder à de nombreuses ressources (différentes applications, des disques partagés, etc),vous risquez de vous retrouver rapidement avec une liste de plus de dix identifiants et autant de mots de passes à retenir. Dans ce cas, la solution idéale passe par un système d'accès unique ou "Single Sign-On" (SSO) adapté à l'ensemble des systèmes utilisés, tant logiciels que matériels.

Un exemple de système d'authentification SSO est Kerberos. Ce protocole développé au MIT dans les années 1980 est utilisé dans les réseaux pour valider les services et les utilisateurs dans un environnement informatique distribué, dit client-serveur. Kerberos repose sur un système de cryptage (clés symétriques) permettant de restreindre l'accès aux applications aux seuls utilisateurs autorisés. 

Kerberos est disponible pour pratiquement toutes les plates-formes Windows. Ces concurrents sont Radius, Diameter (basé sur Radius) et TACACS+ (Cisco).

A défaut de disposer d'un tel système, on peut renforcer son mot de passe en utilisant un générateur mot de passe ou plus simplement en utilisant un programme de gestion de mots de passe.

A lire : Password Management Software Reviews, 2016

Protocoles Radius, LDAP, NIS, Kerberos, Benjamin Forte

Sécurisation des Systèmes (PDF), U.Reims

Les accès à distance

De nos jours beaucoup d'employés assurant des tâches commerciales ou de consultance travaillent en-dehors de leur entreprise et utilisent un ordinateur, fixe ou mobile, relié par Internet au réseau de leur entreprise.

Parmi les solutions les plus rentables, l'accès par le protocole TCP/IP et une liaison téléhonique ou Wi-Fi/WiMAX/4G est une approche très bon marché qui permet aux entreprises de tirer profit des infrastructures publiques, l'opérateur de téléphonie gérant les systèmes de communication du modem ou du routeur Wi-Fi jusqu'au câblage en passant par la surveillance du spam dans les e-mails.

Différents moyens d'authentification forte d'un utilisateur sur Internet générant un code TAN. Ce code aléatoire complète le pseudonyme (nom de l'utilisateur) et le mot de passe de sécurité.

Toutefois, sans protection, n'importe quel pirate proche de l'utilisateur (par exemple situé dans la rue) pourra facilement intercepter les communications entre l'employé et l'entreprise.

Pour éviter ces écoutes indiscrètes et toute tentative d'interception des messages, l'entreprise doit installer un réseau privé virtuel (VPN) et implémenter par exemple le standard de sécurité "IP Sec" qui crypte les données transmises par l'utilisateur, empêchant ainsi à un pirate de lire leur contenu.

Notons déjà mais nous y reviendrons à propos du cryptage, que si le VPN assure la confidentialité des communications, en VoIP (Voice over IP) il est recommandé d'utiliser le mode tunnel (l'encapsulation des données), un moyen de sécurisation qui va en plus garantir la fiabilité et la qualité du service.

Mais utiliser un VPN et crypter les données ne signifie pas que l'adresse IP de l'ordinateur du client est cachée. 

En effet, les protocoles de certains navigateurs comme Chrome et Firefox présentent des vulnérabilités comme l'explique Zataz dans un article publié en 2015.

Outre ces techniques, le système central doit également pouvoir identifier l'utilisateur ou le service distant, lui alouer les ressources nécessaires et s'assurer de l'intégrité comme de la confidentialité des données sans risque d'erreur.

Comme les réseaux câblés, les réseaux sans fil y compris ceux gérant les transactions par carte de crédit (VISA, Master Card, etc) doivent donc s'équiper des moyens pour assurer l'authentification, l'intégrité, la confidentialité et la disponibilité.

Cela passe obligatoirement par des protocoles sécurisés capables de véhiculer des informations cryptées (IPSec, SSH, SSL, WTLS, S/HTTP, S/MINE, SET, etc) et signées digitalement pour garantir la non-répudiation (l'origine incontestée du message ou des données). Nous y reviendrons.

Parmi les accessoires disponibles et bien connus du public, citons le code TAN proposé sur différents suppports, carte, clé USB, token et autre carte à puce.

Les risques associés à ce type d'infrastructure sont égaux à la somme des risques d'un réseau câblé plus des risques introduits par les vulnérabilités des protocoles sans fil et des périphériques (ordinateur, routeur, etc).

Les risques propres à cette technologie sont ceux évoqués précédemment comme le "War driving" (ou War walking) et l'attaque dite "Man-in-the-middle".

Les menaces les plus importantes qui pèsent sur les réseaux sans fil sont : 

- Toutes les vulnérabilités connues des réseaux câblés

- Les faiblesses des protocoles (manque de sécurité ou algorithme d'encryption dépassé)

- Des messages ou des données échangées sans cryptage

- Des attaques DoS sur les périphériques sans fil

- Les attaques malicieuses (usurpation d'identité, JavaScript, Troyen, etc).

On peut donc dire que si les réseaux sans fil offrent une plus grande souplesse de travail, ils augmentent les menaces de divulgation d'information sensible. Ce problème supplémentaire nous conduit à aborder les menaces venant d'Internet.

Prochain chapitre

Les menaces venant d'Internet

Page 1 - 2 - 3 - 4 -


Back to:

HOME

Copyright & FAQ