(informatiques, désolé)
L'actualité décrit en permanence les méfaits des attaques informatiques, réussies ou ratées. Et encore n'entend-on parler que de la partie visible de l'iceberg, quelque 10% des évènements malfaisants, ceux qui touchent des activités sensibles ou de grosses entreprises. Les autres, moins spectaculaires et moins vendeurs de copie, passent inaperçus et cependant, qui n'a pas entendu parler dans son entourage de telle ou telle petite société mise à mal voire anéantie par le blocage de son informatique ou de son site de vente en ligne, seule source de revenu et « down » pour trop longtemps ?
Ci-après, quelques bonnes pratiques de "gestes barrière" de sécurité informatique à susurrer à l'oreille de votre DSI / RSSI.
La mise à terre du système d'information est le plus souvent dramatique, elle fait perdre un temps et un « pognon de dingue ». La destruction de l'image de l'entreprise est un deuxième effet pervers de l'attaque. La fuite et la revente sur le darknet des informations copiées des serveurs de l'organisation victime - de préférence soumises au RGPD – en est le troisième effet coûteux et dévastateur. La perte de crédibilité, l’anéantissement de la confiance des équipes, partenaires et clients vient y mettre un point d'orgue sinistre.
Cela fait des années que ça dure – en gros depuis les prémisses de l'usage du protocole internet dans le business. Et ce n'est pas terminé : si aujourd’hui on découvre avec effarement des vulnérabilités datant de la conception même de systèmes d'opération ou de logiciels support de tant et tant d'applications répandues par millions, la tendance n'est pas près de s'inverser. Au contraire, c'est tellement facile et lucratif que je vois mal les pirates internationaux abandonner une telle manne. Le retour sur investissement (quelques dizaines de dollars pour acheter des listes ou des virus plus ou moins modernes) est trop tentant : même si la déperdition est extraordinaire, il suffit de quelques dizaines de victimes pour récolter des centaines de milliers d’unités de monnaie cryptée. Et les sanctions sont rares, quelques cas par-ci par-là de bandes pirates particulièrement maladroites pour s'être laissées infiltrer puis coffrer. Ce business de la cybermalveillance a dépassé la drogue et la traite de jeunes femmes en simplicité et en rentabilité, le tout en télétravail... Il se professionnalise au sein de mafias multinationales, et va se développer encore et encore.
Les malveillants ont toujours quelques jours ou quelques semaines d'avance sur les organisations de lutte contre les virus et autres malwares. L'application de correctifs intervient au plus vite, mais c'est toujours plus tard, trop tard, après que les premières victimes aient constaté, porté plainte, livré leurs matériels à l'analyse. A l'opposé, les « geeks » pirates passent leurs jours et leurs nuits à explorer toutes les failles de sécurité possibles et imaginables, puis mettent quelques heures à concevoir un package malveillant et à le commercialiser sur le darknet, à la disposition des pirates qui le diffusent et mènent leurs attaques - souvent au hasard, tous peuvent être touchés - jusqu'à encaisser les paiements de quelques victimes. Quelques semaines après, la faille a été comblée, le dispositif est obsolète (mais ressert encore jusqu'à épuisement tant l'écrasante majorité des systèmes a du mal à être mis à jour) et de nouveaux malwares apparaissent sur le marché clandestin.
On est pas sortis de l'auberge, disait le regretté adjudant Wilsdorf*.
Face à la menace, les sociétés et organisations de sécurité informatique ne chôment pas. Les quelques dizaines d'entreprises spécialisées (presque toutes « leader sur leur marché », soit dit en passant) proposent de nombreux systèmes de protection, de l'analyse des flux entrants et sortants à la gestion des autorisations sans oublier l'intelligence artificielle appliquée au trafic IP. L'intelligence de ces systèmes reste quand même relativement limitée, et toujours subordonnée au facteur humain : tout système de protection apporte des contraintes et le seul domaine où le génie des salariés est sans limite, c'est dans le contournement des contraintes. Et l'on sait bien que 92% des attaques réussies ont pour origine une erreur humaine : cliquer au mauvais endroit au mauvais moment... Les 8% restant sont des attaques d'origine exclusivement extérieure à l'organisation victime, comme par exemple les attaques en DdoS (saturation des serveurs par des demandes de connexion en masse trop importante pour la bande passante disponible, débouchant sur le plantage).
Tout cela, c'est de la technique : science sans conscience n'étant que ruine de l'âme (Merci François Rabelais), j'oserai le parallèle suivant : science informatique même excellente, avec un bullshit-management n'est que faillite de l'entreprise. Avec un bon outil, il faut en plus une motivation de tous, un moral et une harmonie exceptionnels pour que la protection fonctionne bien. J'aurai l'occasion d'y revenir un autre jour.
En attendant, puisque ces virus vont encore longtemps nous pourrir la vie, il faudrait bien apprendre à vivre avec.
Je vous propose ici quelques pistes à explorer (chez nous c'est fait, et mis en application) pour développer votre système immunitaire. Ce sont de vieilles recettes utilisées depuis que le Renseignement, l'espionnage et le contre-espionnage existent mais elles sont tellement efficaces qu'elles ont traversé les siècles.
1/ La redondance
Bien sûr, la redondance des sauvegardes, c'est évident. Et plus généralement, la redondance des matériels et des logiciels : quand nous achetons une machine, achetons-en deux. Bien sûr les RSI qui ont du mal à serrer leur budget vont hurler, mais laissons-les hurler et poursuivons notre route : clavier, dispositifs de pointage et même écrans ne sont pas concernés, il s'agit des unités centrales utilisateurs (pour les serveurs, en général c'est déjà le cas), PC de bureau ou portables. La plupart du temps, les utilisateurs n'ont besoin que d'applications peu gourmandes en mémoire vive, mémoire de stockage et vitesse, pour effectuer des tâches de l'ordre tableur, traitement de texte, CRM, messagerie. Des Unités Centrales quelque peu limitées, voire à la mode de l'année dernière, coûtent souvent moitié moins cher que le top du top de la saison. Il vaut mieux en utiliser une pour l'usage quotidien et garder l'autre en réserve – cette dernière ne sera connecté que de temps en temps, une fois par mois devrait être suffisant, pour les mises à jour de sécurité OS et logicielles. A minima, le service devrait avoir un nombre d'U.C. suffisant, montées et à jour pour remplacer une bonne partie des unités malades en un minimum de temps. On peut d'ailleurs faire tourner le stock pour avoir des machines neuves régulièrement, et ne pas se débarrasser des anciennes machines qui peuvent très bien accueillir des sauvegardes locales sur leur Disque Dur – voir ci-après.
2/ Le cloisonnement
Mis à part quelques unités d'administration, qui doivent être surveillées comme le lait sur le feu (avec un matériel de puissance équivalente en back-up, prêt à dégainer), aucun utilisateur n'a besoin d'un privilège administrateur. Aucun commercial n'a besoin de pouvoir accéder aux RH, aucun responsable de production n'a besoin de consulter les dossiers clients en cours. Etc.
Et la séparation ne doit pas juste être logicielle : n'importe quel pentester arrive à naviguer d'un service à l'autre au sein d'un système unique, alors, un pirate patient... Non, il faut que la séparation soit physique, avec des serveurs différents et des accès radicalement différents (les malfaisants disent merci aux administrateurs qui utilisent les même mots de passe pour différents accès). Si vous voulez savoir composer des mots de passe à l'infini, sans aucun problème de mémorisation (et rendant les gestionnaires de mots de passe totalement inutiles : ça tombe bien, ils sont vulnérables aussi), lisez mon article d'août 2017 « world of password...
Tout doit être cloisonné, par sujet et dans le temps : il est rarissime que l'on ait besoin d'une donnée de l'année dernière. Voire du mois dernier. Et dans ce cas, un petit délai pour désarchiver est en général supportable.
Donc, plus que sauvegarder (de manière redondante, bien entendu), il est plus prudent de parler d'archivage - redondant et sécurisé, on est d'accord.
Dans la cartographie du système – un préalable indispensable à tout gestionnaire de SI – il est facile de déterminer quels domaines de données doivent rester accessibles facilement et rapidement et quels autres doivent être enterrés et sous quel délai. Ceux-là sont au coffre. Numérique OK, mais surprotégés. Et pour les pièces d'intérêt comptable ou juridique, le papier reste obligatoire : la quasi-totalité des documents envoyés par l'extérieur est en .pdf non protégé, c'est à dire qu'on peut les modifier avec les versions pro des logiciels de l'éditeur et que l'administration les refusera, il faudra de toutes façons les imprimer en cas de contrôle.
Allons plus loin : on a besoin d'être connecté (professionnellement) pour communiquer avec des collègues ou des interlocuteurs extérieurs. Bon. Et bien une partie du parc, notamment celle consacré à l'archivage, doit rester hors connexion sauf très rares exceptions très surveillées. Chez nous la carte internet et le wifi sont désactivés par défaut sur ces machines (et bluetooth encore plus) et lors des opérations d'archivage, les données récentes à ranger sont scrutées, transitent par disque externe puis, une fois certifiées sûres, chargées sur les machines de stockage – différentes pour chaque domaine d’activité évidemment. Les disques externes utilisés servent de sauvegarde supplémentaire, et sont copiés en différents endroits (dont pourquoi pas un cloud sécurisé où les données seront cryptées). Sans IP, ces boîtiers-là ne communiquent pas par internet même en réseau local.
Moyenâgeux, non ? Oui mais très sûr.
Le courant, et notamment les échanges courriel, peut rester quelques temps (quelques semaines, un mois) sur la machine de tous les jours en attendant d'être sauvegardés et archivés. La plupart du temps, si le serveur courriel est touché, on pourra retrouver les échanges récents depuis les boîtes de leurs destinataires, en tout cas pour l'externe. Pour les échanges internes récents, mieux vaut de toutes façons utiliser un système un peu sécurisé et externalisé, on pourra toujours s'y reconnecter. Exit les suites intégrées d'éditeurs américains biens connus, auxquelles on ne saurait confier des secrets d'affaires, accessibles 365 jours... par autrui. Chez nous, pour ce qui est important nous utilisons une messagerie indépendante, européenne, pas très coûteuse mais puissante et très bien sécurisée (cryptage de bout-en-bout notamment) et dont les serveurs sont bien backupés. La suite agenda, contacts, visio associée va très bien aussi.
Donc, il faut donner du temps à la sauvegarde et à l'archivage, voire consacrer du monde à cette tâche ; aucun système automatisé ne sera fiable, notamment parce qu'ils sont tous connectés en permanence et ne réagiront pas aux signaux faibles d'attaque.
En cas de perte d'accès au business courant, la reconstitution sera rapide et facile.
3/ L'intoxication
On dirige couramment les attaques, quand on peut les discerner, vers un « pot de miel » facile à pénétrer mais sans donnée sensible : partie du système, logiciel, service. Poussons la logique et n'hésitons pas à fabriquer de la fausse donnée qui donnera l'impression au pirate qu'il a obtenu l'accès au saint-Graal mais qui sera juste une manière d'intoxiquer la concurrence. Tant que nous ne diffusons pas nous-même ce contenu, c'est légal ; l'intrus n'a qu'à s'en prendre à lui même.
Il faut qu'il y ait un certain volume pour que ce soit efficace : cela prend du temps et mobilise des ressources. Mais c'est tellement bon...
Un exemple simple et rapide à mettre en œuvre : dans un carnet d'adresses (attention, c'est bourré de données personnelles au sens du RGPD : cela doit être bien protégé), nous introduisons des adresses marquées d'un code permettant de les identifier comme adresses-tests – et qui pointent vers une de nos messageries. Recevoir un message permet alors de vérifier discrètement que la liste a été copiée et diffusée à mauvais escient, et commencer à tracer son émetteur.
Dans l'archive courriel, on peut aussi insérer quelques messages dont la pièce jointe est elle-même alléchante mais porteuse de virus : on aura le plaisir de pourrir le système du pirate-explorateur à la recherche de donnée croustillante à revendre. Garder alors bien au chaud la clef de décryptage, si par hasard quelqu'un de chez nous avait la mauvaise idée d'ouvrir la pièce.
Voilà quelques idées qui sont plus relatives au design du système d'information qu'à l'empilement de systèmes de protection tous plus géniaux les un que les autres. Ici point de génie mais une conception simple, tirée de l'expérience immémoriale de nos Maîtres-contre-espions du passé.
Amusez-vous bien !
C.R.
* Merci à Pierre Schoendorffer et à sa « 317e section ».
