Piratage
de données et intrusions : le flou subsiste
Les intrusions courantes laissent généralement les responsables sécurité ou réseaux perplexes et démunis pour remonter la piste des pirates. Un phénomène moins perceptible dans les secteurs dits plus sensibles. Examen des choses témoignages à l'appui. (Mardi 16 décembre 2003)
Suite à l'appel à témoins relatif
aux tentatives d'intrusion ou de vol de données que nous avons lancé
la semaine dernière, certains de nos lecteurs ont bien voulu nous faire
part de leur expérience en la matière, apportant de précieux
enseignements.
Entre les intrusions à caractère frauduleux
et l'utilisation de ressources pour l'échange de
fichiers prohibés, ce qui ressort des témoignages
recueillis est le manque flagrant de visibilité
quant à l'ampleur du méfait et au but final
des pirates : depuis quand sont-ils là, comment
ont-ils fait, quel est leur objectif, quels fichiers ont-ils
touché, qui sont-ils ?
Et derrière ces interrogations, la question du
coût et des compétences qu'il faudrait mobiliser
pour mieux se protéger se profile souvent à
l'horizon. Mais quand il s'agit de véritable piratage
industriel en secteur sensible, les acteurs semblent plus
au fait de qui fait quoi et comment.
"Hacked
by..." au coeur des fichiers systèmes Un de nos lecteurs
- administrateur réseaux et systèmes au
sein d'un organisme agricole consulaire français
- nous a fait part d'un problème sur un de ses
serveurs de fichiers. Alors qu'une adresse IP publique
avait été provisoirement installée
pour des raisons de maintenance à distance,
il a rapidement constaté que certains "logs"
étaient anormaux.
Croyant tout d'abord qu'il s'agissait de batchs routiniers,
il s'est aperçu que des fichiers externes (utilitaires
FTP...) avaient été installés dans
un des sous-répertoires systèmes de Windows
2000. "Je n'arrivais pas à accéder
à ces fichiers cryptés, encore moins à
les détruire. Dans un des sous-dossiers systèmes,
j'ai pu ouvrir un fichier dans lequel apparaissait une
tête de mort et un message de type 'hacked by...'
", précise notre interlocuteur.
De là en a découlé une phase de formatage
du disque dur et de réinstallation complète
des logiciels, donc une perte de temps non négligeable.
Avec, en prime, des questions restées en suspens
: "Windows 2000 est globalement très ouvert.
Si on décide de durcir certaines règles,
en modifiant par exemple les droits NTFS ou l'accès
à la base de registre, certaines fonctionnalités
- comme sur AutoCAD ou Office 97 - ne fonctionnent plus...
De plus, je ne sais pas dire si certains fichiers ont
été lus, copiés ou autre", ajoute-t-il,
reconnaissant qu'une externalisation de cette surveillance
serait vraisemblablement opportune.
Une
plate-forme de téléchargement temporaire
installée Un de nos autres
lecteurs, Marc Behar, cofondateur de la société
de conseil en sécurité X-m.co
Partners, nous a fait part des désagréments
survenus à une société du secteur
financier gérant de très forts volumes de
transactions : "ils nous ont appelé car plusieurs
serveurs de fichiers de production interne étaient
saturés, sans raison apparente. Nous avons diagnostiqué
que ces serveurs étaient utilisés pour stocker
des jeux piratés, des films pornographiques, des
MP3... Les pirates sont rentrés par un serveur
de back-up Internet resté connecté.
Nous avons installé un pont filtrant à base
de composants Open Source - en mode coupure - qui présente
l'avantage de ne pas avoir d'adresse IP", explique
le dirigeant.
Mais une fois l'intrusion détectée et les
premières mesures prises, il est difficile de définir
précisément quels agissements ont eu lieu
et de procéder à un bilan complet. En l'occurrence,
les pirates ont utilisé les ressources de ces serveurs
pour créer une plate-forme temporaire de téléchargement
- sans objectif d'intelligence économique -, mais
il est toujours complexe de dire après coup si
tel ou tel fichier a été lu, modifié
ou détruit...
Certes, l'analyse des fichiers "logs" permet
de remonter la piste mais cette analyse est souvent longue
et fastidieuse. En tout état de cause, un procès
contre les auteurs de ce squat et contre le FAI
est en cours, le client ayant considéré
que ce dernier avait, au delà de la simple fourniture
d'accès, un minimum d'obligations de filtrage.
L'intelligence
économique à l'état pur : bas les
masques ! Dernier témoignage
significatif, celui d'une personne gravitant dans le secteur
de l'armement et du paramilitaire. A la manière
d'un virus véhiculant une pièce attachée
porteuse d'un cheval de Troie, notre lecteur est convaincu
que les mails reçus ces derniers mois le ciblaient
personnellement, lui et quelques uns de ses fichiers sensibles.
"Quand la pièce
attachée se met à rechercher des informations
par mot clé, je sais que certains de mes concurrents
veulent en savoir plus sur mes activités. Récemment,
j'ai eu la désagréable surprise de me faire
doubler dans le cadre d'une cotation sensible dans un
pays. Par ailleurs, quand je place des gens en prestation
de services, il se peut qu'ils soient appelés par
la suite...", note notre lecteur.
Conscient des risques du secteur
auquel il appartient et des méthodes de ses concurrents,
notre interlocuteur averti crypte toutes ses données
et nettoie chaque jour son système d'exploitation,
mesures qui lui semblent suffire pour limiter les dégats.