Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

FROM "ZERO to HERO" or "BACK TO ZERO" ?

Telle est la question: ce n'est pas parce que nous sommes une civilisation avancée, que nous le resterons sans rien faire...

En effet, en étudiant les grandes civilisations on constate que celles-ci reposent toujours sur quatre piliers : une économie florissante, des arts étincelants, une recherche géniale et une défense forte. Si l’un des quatre piliers venait à vaciller, cette civilisation, quelle que soit sa puissance, serait vouée à sa disparition...

INTERNET: LA RÉVOLUTION NUMÉRIQUE

Par ailleurs, le grand bouleversement de notre époque s’appelle Internet. Tous les ordinateurs de la planète sont maintenant reliés entre eux, et il s’écoule une simple demi-seconde pour joindre un ordinateur situé à n’importe quel point de la planète, et le vôtre. Une attaque, également, prend une demi-seconde. Or la plupart des informations vitales de nos économies sont maintenant situées dans nos ordinateurs et transitent par Internet.

Est-il possible de lancer une cyberguerre qui mènerait à la destruction de nos économies et donc à la disparition de notre civilisation ? Est-ce paranoïaque de penser cela ? Quelles sont les menaces réelles et comment s’en défendre ?

MICRO-ANALYSE DE DIFFÉRENTS CAS EN CYBER SÉCURITÉ

À la lumière de différentes affaires récentes, il est clairement démontré que le contenu des ordinateurs est crucial dans de nombreux cas : l’ordinateur portable du général Rondeau permet de savoir ce qui a été noté par celui-ci dans l’affaire Clearstream, même s’il a cru en effacer les données; la saisie de l’ordinateur portable du numéro deux des Farc, Raoul Reyes, a permis aux services colombiens d’obtenir de nombreux renseignements vitaux contre la guérilla, et a conduit à de nombreuses arrestations ou éliminations ; la lecture des échanges de centaines de messages instantanés entre Jérôme Kerviel et Moussa Bakir a permis aux enquêteurs de comprendre les tenants et aboutissants de leur relation. Ce qui est nouveau aussi, et totalement inattendu, c’est que les informations, voire les vidéos de personnes connues, se retrouvent après quelques heures sur Internet, et sont téléchargeables et téléchargées par des dizaines de milliers d’internautes. Par exemple, la vidéo de Tom Cruise sur la scientologie a été téléchargée plus d’un demi-million de fois sur YouTube… Aucune chaîne de télévision, aucun média n’a un tel impact. Aucun État, aucune secte, aucune dictature, même les plus puissants et totalitaires ne peuvent plus empêcher l’information de filtrer et de demeurer indéfiniment sur le web. Par ailleurs, se déconnecter d’Internet, comme l'a fait temporairement la Birmanie, la Syrie ou la Lybie, équivaut économiquement à retourner au Moyen Âge…

Dans le cadre d’une défense nationale efficace, les civilisations occidentales doivent donc maîtriser parfaitement ces outils, et également protéger les citoyens et les entreprises des dangers potentiels d’Internet.

L'ECONOMIE

En reprenant nos quatre piliers, on peut repérer des enjeux majeurs en fonction de chacun, tout d’abord l’économie a besoin d’une logistique puissante des échanges, et Internet doit lui fournir la fluidité dont elle a besoin. Toute décision visant à brider cette fluidité, diminuerait la compétitivité de nos entreprises, donc détruirait à terme notre économie. Par ailleurs, toute attaque externe visant à bloquer Internet — ce que l’on appelle un déni de service — pourrait affecter notre économie, notamment le secteur bancaire. Par exemple on pourrait envisager la possibilité de créer des pertes abyssales en bourse pour les sociétés cotées: en bloquant les cotations, en créant une panique populaire, en détournant, simultanément tous les avoirs de tous les comptes en banque de la planète sur des comptes « ennemis », enfin en provoquant la ruine des principales banques en les contraignant à liquider des positions déficitaires simultanément. Un peu ce que nous avons vécu en "modèle réduit" (à près de 5 milliards d'euros tout de même) avec la Société Générale.

A mon avis, toute action externe visant à bloquer Internet de manière massive doit ainsi être considérée comme un "acte de cyber-guerre"; toute action interne visant à ruiner ou à détourner les avoirs de nos entreprises doit être considérée comme un "acte de terrorisme économique".

LA MATIÈRE GRISE EST NOTRE SEULE VALEUR RÉELLE

Alors que certains continuent à croire et à dire que nous avons un avenir industriel, la réalité est toute autre: nous avons perdu la bataille de l'agriculture (le secteur primaire), de l'industrie (le secteur secondaire) et même celui des services (le tertiaire) à cause et grâce à internet, sauf pour les services de proximité. Il nous reste une population vieillissante mais qui a de l'expertise dans son domaine précis. Cette expertise qui constitue le secteur "quaternaire" doit être valorisée à travers la formation par binôme (jeune-ancien, "djeddai-padawan") et à travers le dépôt de brevets de "savoir-faire".

Le deuxième type de menaces vise donc notre Recherche & Développement (R&D), car les pays émergents ont compris que nous détenions ces informations et connaissances dans nos systèmes d'information plus ou moins bien protégés...

Tous les scientifiques utilisent Internet, et d’ailleurs, il a été inventé par eux, pour eux, lors de la fusion de Milnet et d’Arpanet. L’inventeur de world wide web — Tim Berners Lee — est ingénieur en recherche nucléaire au Cern à Genève. L’hypertexte (http) lui permettait de communiquer de manière plus efficace avec ses collègues.

Or, les scientifiques, non seulement ne voient pas en quoi leurs recherches pourraient mettre en danger notre civilisation par leur divulgation, mais sous-estiment les menaces réelles sur Internet, voire font preuve de naïveté, notamment en intelligence économique.

La menace pour notre R&D s’appelle la "perte de confidentialité" ; laquelle se cristallise par une fonction complètement nouvelle sur Internet, les moteurs de recherche, et plus précisément « Google ». Ce moteur permet, à travers des commandes simples, d’agréger des millions d’informations « sans intérêt » pour obtenir une information « pleine d’intérêt » de lutter contre le pillage de nos informations de recherche et nos brevets, nous devons mettre en œuvre des mesures de protection complètement transparentes pour les scientifiques. Il en va de même pour les dirigeants d’entreprises ou les personnes ayant à manipuler des données sensibles : on ne peut pas leur demander d’être des experts en sécurité.

CONTREFAÇON
La même menace vise aussi nos créateurs : les faux sacs Vuitton ou les faux polos Lacoste sont en vente sur Internet à des prix défiant toute concurrence. Bien entendu, ce phénomène existe depuis longtemps, mais Internet a un rôle de facilitateur et d’amplificateur.

PROPAGANDE

Enfin, nos ennemis utilisent massivement Internet à la fois comme outil de communication, mais également comme outil de propagande, afin de saper nos valeurs et de recruter des candidats au suicide terroriste ; ce qui est la nouvelle forme des adversaires que nous devons combattre.

Inversement, si nous maîtrisons parfaitement Internet, nous pourrons infiltrer puis combattre sur ce terrain virtuel, et surtout éviter le "BIG ONE", l’attaque massive de déni de service qui pourrait être fatale à nos économies, et donc à notre civilisation.

L’AFFAIRE DE LA SOCIÉTÉ GÉNÉRALE
En prenant l’exemple de l’affaire qui a coûté près de 5 Mde à la Société Générale, que s’est-il passé, et que peut-on en déduire pour améliorer les choses, voire empêcher que cela se reproduise ?

Le premier élément nouveau est d’abord la communication transparente, à la fois de la Société Générale, comme de Jérôme Kerviel, dans les médias et sur Internet. En tapant quelques mots-clés sur un moteur de recherche on trouve une mine de renseignements officiels : le résultat de l’enquête interne de la Société Générale, les arguments de Jérôme Kerviel ; plus étonnant, les échanges de chat (messagerie instantanée) entre J. Kerviel et Moussa Bakir : une plainte a d’ailleurs été déposée contre le Nouvel Observateur par l’avocat de Bakir, non pas pour démentir l’existence de ces échanges, mais pour souligner des manquements dans le texte comme des smileys (expressions d’humeurs en mode texte dont la plus connue est : -), ce qui en tournant la tête sur le côté gauche montre un bonhomme qui sourit, sans utiliser de caractères graphiques). Toute une culture de « jeunes » — celles des textos, des chats et des smileys — est véhiculée ici. Si on connaît ces codes et ces abréviations on peut donc parfaitement comprendre les tenants et aboutissants de leurs relations.

Le deuxième élément nouveau est le développement des « réseaux sociaux ». On peut s’inscrire sur Internet sur "Copains d’avant" ou sur Linkedin, en spécifiant les études que l’on a suivi ou les entreprises où l’on a travaillé, le régiment où l’on a servi, de manière à retrouver ses anciens collègues… C’est une idée louable au départ, mais on peut la détourner rapidement: «Nous sommes tous "amis" ou "amis d'amis" sur les réseaux sociaux»...

Ce qui est révolutionnaire c'est que n'importe quel internaute peut également trouver ces éléments, les recouper entre eux et en tirer des enseignements.

Il est donc primordial de comprendre comment on peut pénétrer un système d’information de l’extérieur, de l’intérieur, et d’évaluer si c’est facile ou difficile.

Le dernier point que nous souhaitons aborder avant d’en venir au diagnostic, puis aux remèdes, est le problème juridique structurel : autant Copains d’avant ou Viadéo sont des sites français (probablement situés en France), autant Linkedin est ailleurs, probablement aux États-Unis. Le fait de vouloir limiter la portée des actions et décisions au territoire hexagonal est ridicule, car Internet est global et se moque des frontières… Moi-même j'ignore où est hébergée cette page, dans quel pays et donc il est difficile de dire quelle législation s'applique à l'hébergeur. Le contenu de cette page étant accessible du monde entier, rien ne prouve que moi-même je me trouve en France , ni même que cet article n'est pas traduit depuis une autre langue ou même que c'est moi qui l'ai écrit ! Autrement dit, depuis l'apparition d'Internet, il est beaucoup plus difficile de manipuler l'opinion publique comme le dénonçait Noam Chomsky dans la "Fabrication du consentement" où il explique que les médias et notamment la presse et la télévision ne peuvent pas sortir d'une information "aseptisée" car il ne faut pas déplaire aux annonceurs et au lecteurs ou auditeurs ou téléspectateurs. Il constate également que la plupart des médias sont détenus par peu de groupes d'autant plus faciles à contrôler. "Mais ça, c'était avant" (comme dans la pub ;) Avec Internet, surtout depuis Internet version 2.0, c'est à dire l'apparition des réseaux sociaux il est devenu impossible à une composante ou une faction de faire disparaître la contradiction soit des faits, soit des opinions. Ceci dit, revenons-en à l'analyse de cette affaire.

LA MENACE INTERNE

La première chose qui vient à l’esprit des non-initiés est « ça doit être drôlement difficile » de pirater un système informatique, "ces types sont des génies », et autres qualificatifs. En fait, depuis au moins cinq ans, il suffit de taper "hacking" dans un moteur de recherche comme Google pour télécharger des scripts, véritables « recettes de cuisine » de piratage.

Ces scripts sont utilisés surtout par des adolescents, d’où l’expression "script kiddies", pour des actions faites depuis le domicile des parents, afin d’arriver à pénétrer dans les systèmes informatiques, notamment des banques, mais également des administrations sensibles comme la police, le renseignement ou l’armée. Ils sont en général basés sur des vulnérabilités de systèmes, connues et publiées sur Internet, mais dont certains ont fait l’économie de la mise à jour (patch) et continuent donc de présenter cette vulnérabilité sur Internet. On peut dire qu’avec la multiplication des mises à jour de Windows, la mise en œuvre d’antivirus et de firewalls (pare-feu logiciel), ces menaces sont pratiquement résorbées dans les entreprises et administrations sensibles. En revanche, il existe des vulnérabilités dont le patch (l’antidote) n’a pas été publié et qui sont efficaces quelles que soient les défenses : on les appelle les "zero day", c’est-à-dire que nous sommes toujours au jour zéro depuis leur découverte, et donc qu’il n’existe encore aucune parade. Cela étant dit, les équipes informatiques sont équipées de systèmes complémentaires comme des IPS (détecteur d’intrusions) et les défenses sont de plus en plus efficaces contre ce type d’attaque.

Alors comment la Société Générale bien équipée, et avec disposant d’équipes de sécurité compétentes, de moyens techniques et informatiques performants, et dotée d’un budget significatif sur ce sujet, aurait pu se faire pirater par un simple trader non informaticien ? À première vue, cela ne tient pas debout. En y regardant de plus près, il y a une différence fondamentale entre nos script kiddies et JK : la personne travaillait physiquement à l’intérieur de l’entreprise…

Si menace il y a, il s’agirait donc d’une menace interne. La question qui se pose alors est : Est-ce plus facile de pénétrer un système d’informations de l’intérieur que de l’extérieur ? La réponse est « oui », c’est bien plus facile, c'est même enfantin ! En effet, toutes les défenses des entreprises sont tournées vers la menace externe : telles la « ligne Maginot », il suffit de les contourner ou bien d’être déjà de l’autre côté du front…

"LE LOGIN-PASSOIRE"
Venons-en maintenant à la principale vulnérabilité des systèmes actuels : l’ensemble des accès aux informations contenues dans les ordinateurs est validé par la fourniture d’un login et d’un mot de passe (password). Le matin, et à chaque accès à un logiciel protégé, l’utilisateur fournit son nom ou pseudo (login), qui en général ressemble énormément à son « prénom-nom », en tous les cas est totalement prévisible par un collègue ou un employé, même éloigné, de la même entité. Il en est de même pour les adresses de courriels, cela peut donner de manière prévisible l'adresse email. On peut donc avec un minimum de connaissances connaître déjà la moitié du « crédentiel » (de la combinaison login-password). Je l'ai donc repaptisé "login-passoire" au lieu de "login-password" tellement c'est facile à contourner.

L’autre moitié est de connaître le mot de passe, et là on touche véritablement au talon d’Achille de la sécurité des systèmes actuels. N’importe qui connaissant le mot de passe d’un utilisateur devient cet utilisateur vis-à-vis du système, et dispose donc de ses droits d’accès ! Reprenons le cas du pirate externe : s’il arrive à « renifler » le mot de passe au moment où l’utilisateur le rentre sur son ordinateur, il aura les mêmes accès et les mêmes habilitations que l’utilisateur réel…

Deuxième possibilité pour le pirate : « craquer » le mot de passe. Vu la vitesse des ordinateurs actuels, en essayant toutes les combinaisons, il faut, avec un logiciel téléchargeable gratuitement sur Internet, 30 secondes pour récupérer un mot de passe de 5 caractères, et 3 heures 30 pour un mot de passe de 6 caractères et enfin une semaine pour un mot de passe de 8 caractères… Je considère donc que la protection des systèmes par un « login-passoire », n’est plus une réponse valide face à la menace réelle.

Troisième possibilité: l'utilisateur légitime fournit lui-même le mot de passe souvent pour faciliter le travail: "ça permettra aux collègues d'aller consulter mes emails pendant mon absence pour pouvoir continuer à travailler sur ce dossier"...

IDENTIFIER au lieu d'AUTHENTIFIER

Que faut-il faire alors ? Face à la multiplication des mots de passe et des moments où l’utilisateur doit s’authentifier dans une journée, ceux-ci ont tendance à utiliser le même mot de passe un peu partout, et également à les noter dans un endroit peu sécurisé (post-it collé sur le bord de l’écran, sous le clavier, dans le tiroir, texto dans son téléphone, dans son organizer, etc.). Pour remédier à cela la solution doit venir à la fois de l’organisation et de la technique : Le système d’authentification doit céder la place à un système d’identification, c’est-à-dire que l’identité de la personne ne doit plus faire de doute.

Cela correspond à la mise en œuvre d’un facteur physique (clef USB ou carte à puce insérée dans l’ordinateur, comme un badge) et d’un facteur biométrique pour les endroits et les postes les plus sensibles comme une lecture des empreintes digitales. L'idéal serait une carte d'identité comportant un certificat numérique, comme l'ont déployée nos voisins Belges et valable sur l'ensemble des sites administratifs ou pour se connecter au système sous forme de clef USB.


LA BOITE NOIRE
L’autre intérêt induit de cette mesure est de pouvoir tracer les activités des personnes sensibles, exactement comme les « boîtes noires » en aviation, pour l’activité et les actions du commandant de bord. Il ne s’agit pas de « fliquer » les comportements des personnes, mais bien de conserver la trace des frappes clavier, et des fichiers consultés et modifiés pendant un certain temps, de manière à faciliter les investigations éventuelles.

Bien entendu ces activités, strictement encadrées par les ressources humaines et le déontologue de l’entreprise, devront être déclarées et autorisées par la CNIL, et ne pourront être utilisées en dehors d’une enquête judiciaire, exactement comme pour les enquêtes en aviation. L’existence de cette traçabilité, connue des utilisateurs aura en plus un effet dissuasif vis-à-vis des personnes qui voudraient contourner le système d’informations ou usurper l’identité d’un collègue pour effectuer des modifications illicites dans les fichiers ou les courriels.

UNIFIER LES SYSTÈMES d'HABILITATION
Comme les utilisateurs ont de nombreux mots de passe à mémoriser, l’autre action (qui sera en plus très populaire parmi les utilisateurs) va consister à regrouper tous les mots de passe en un seul, soit en adaptant les applications existantes à l’authentification initiale de Windows le matin, soit en passant les paramètres (token ou jeton) du système central vers chaque application qui en a besoin au moment de son lancement par l’utilisateur.

C’est le même principe qu’à la douane : au lieu d’avoir autant de « passeports » que d’applications à gérer, l’utilisateur a un seul passeport muni de « visas » quand c’est nécessaire, pour avoir accès à certains "pays sensibles", vous avez traduit «à certaines applications critiques», comme le passage d’ordres de plusieurs millions d’euros…

Les utilisateurs seront très contents de cette évolution car ils n’auront plus qu’un seul mot de passe à mémoriser, et par ailleurs seront rassurés par le fait de savoir que leur identité ne peut être usurpée dans le système.

ÉPILOGUE Nous venons d’assister à l'épilogue de plus grand impact de l’histoire humaine, de pertes financières résultat d’une fraude et de l’intrusion — présumées — dans un système d’informations. Ce n'est pas si intéressant de savoir "à qui la faute" et c'est le rôle de la justice de trancher. Ce qui au contraire va intéresser n'importe quel chef d'entreprise ou n'importe quel internaute est de savoir comment se protéger, comment protéger le patrimoine informationnel de l'entreprise qui est maintenant son principal actif.

Il ne serait pas raisonnable pour chaque entreprise et chaque gouvernement de continuer comme si de rien n’était. Nous avons mentionné ici quelques diagnostics et remèdes possibles: Identifier, boite noire, unifier les habilitations.

Nous avons mentionné des hypothèses et des faits, que certains trouveront invraisemblables. Citons Sherlock Holmes pour nous venir en aide : «Éliminez l’impossible, et il ne vous restera plus que les hypothèses à explorer».

"from zero to hero" or "back to zero" ?
"from zero to hero" or "back to zero" ?
"from zero to hero" or "back to zero" ?
Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
"Ce que voient les pirates #1"
"Ce que voient les pirates #1"
Cybersécurité et réseaux sans fil: WIFI ou LIFI ?
Cybersécurité et réseaux sans fil: WIFI ou LIFI ?
Connect the dots #16: "Protection des applications web"
Connect the dots #16: "Protection des applications web"
Connect the dots #15: "Zero Trust ! Du côté du télétravailleur..."
Connect the dots #15: "Zero Trust ! Du côté du télétravailleur..."
Back to Basics: techniques d'audit des fondamentaux de la sécurité
Alertes Virus en temps réel