Bill Hancock, Exodus : "Les hackers se font la main sur les petites entreprises avant d'attaquer les grandes"


		JDNet \| Emploi \| Développeurs \| Management \| Votre high-tech			Linternaute		Séminaires \| Etudes

Rechercher :

Progiciels

Fonds

VOTRE HIGH TECH

Téléchargement

BOURSE

Benchmark Group

L'internaute Magazine

Interviews
	*Bill Hancock*
	Senior V-P security, Chief security officer
	Exodus Communications
"Les hackers se font la main sur les petites entreprises avant d'attaquer les grandes"

Véritable gourou américain des réseaux et de la sécurité informatique, Bill Hancock a participé à l'arrestation d'environ 600 hackers et à la conception de plusieurs milliers de réseaux dont plusieurs backbones. Aux Etats-Unis, il intervient couramment sur des chaînes de télévision comme CNN, ABC et la BBC en tant qu'expert sur ces sujets. Nous l'avons rencontré vendredi dernier au cours de la visite du datacenter français d'Exodus, l'hébergeur chez qui il cumule les fonctions de vice-président senior de la sécurité et chief security officer. Dans une logique de guerre entre attaques et parades, ses propos sur la sécurité parlent d'eux même.
Propos recueillis par François Morel le 23 mai 2001 .
JDNet Solutions : Existe-t-il des systèmes de sécurité inviolables ? Bill Hancock : Non. Pour pénétrer au sein d'un système, ce n'est qu'une question de temps et d'argent. Sur le nombre total de sites web dits critiques, combien sont-ils insuffisamment protégés selon vous ? La majorité des sites ne sont pas assez protégés contre les attaques les plus courantes. Pour avoir des chiffres précis, il faut aller voir sur le site SecurityStats.com. Les statistiques doivent être de l'ordre de 70 à 75 % de sites vulnérables aux tentatives d'intrusion communes. En général, le problème vient du fait qu'un firewall garde de certaines attaques mais ne suffit pas à garantir une protection efficace. Il faut aussi, par exemple, combler les failles des applications et mettre en place un système d'identification par mot de passe. Des techniques différentes doivent être déployées pour parer à différentes catégories de risques. Quelles sont les principales composantes d'une infrastructure de sécurité véritablement efficace ? Ce sont toutes les technologies de sécurité qui apportent une défense de base pour identifier et empêcher l'aboutissement des attaques. Ce qui inclut les différents moyens possibles pour détecter et contrer tous les types d'attaques dirigées vers les capitaux d'informations clients. Ensuite, il faut pouvoir assurer une surveillance des événements liés à la sécurité. Et ceci implique que des sondes soient mises en place, que la surveillance soit opérée en 24x7, et qu'elle fasse intervenir des hommes pour regarder les logs de sortie en quête de problèmes éventuels. De plus, une boucle d'action doit pouvoir prendre la main lorsque le système de surveillance détecte quelque chose de grave. Des locaux et du personnel consacrés à la riposte technique (incident response) doivent aussi pouvoir intervenir en cas d'urgence. Les extranets et les sites reliés à des applications back-office constituent-ils une porte ouverte vers les réseaux internes ? Pas vraiment. Le risque vient plutôt de l'intranet. 90 % des pertes sont dues à des personnes qui ont accès au réseau interne. Il y a peut-être beaucoup plus d'attaques sur des sites Internet et extranet, mais la plupart du temps les hackers ne pénètrent pas sur le réseau interne. La plus grande menace vient donc toujours de l'intérieur. Hormis le vol de mots de passe qui impose l'installation d'un système de signature unique (SSO), quels sont les principaux risques ? Le plus grand risque vient incontestablement des systèmes auxquels les correctifs disponibles n'ont pas été appliqués. Il y a même parfois une possibilité d'être tué dans l'exercice de sa fonction, si un autre employé à décidé d'exploiter une faille et de faire exploser la souris à distance par exemple. C'est donc l'une des plus grandes menaces aujourd'hui. Si vous n'appliquez pas les correctifs de façon significative, ne venez pas vous plaindre. Et c'est la même chose à l'intérieur d'un appartement : si vous ne rangez rien, vous ne pouvez plus rien retrouver. Vous n'avez donc pas le choix. Que pensez-vous de la politique d'éditeurs comme Microsoft dans ce domaine ? Je pense qu'ils sont assez sérieux et qu'ils rencontrent les mêmes difficultés que d'autres éditeurs. Mais je pense aussi qu'ils ne fournissent pas leurs correctifs suffisamment tôt. Pour revenir à un contexte d'échanges b-to-b, existe-t-il des menaces très spécifiques sur les places de marché à plusieurs niveaux ? Et comment y pallier ? Ces places de marché soulèvent trois préoccupations principales en matière de sécurité : le poste client, la plate-forme serveur, et la sécurisation des protocoles transactionnels. Du côté utilisateur, vous devez tenir compte des éventuelles failles du système client, installer des firewalls, des réseaux privés virtuels, chiffrer l'encapsulation, assurer l'identification de la personne, etc. Du côté serveur, il faut couvrir les mêmes domaines, plus d'autres comme la sécurité d'accès au back-end, le chiffrement des champs, la protection de la base de données... Enfin, concernant la partie transactionnelle, il faut assurer la protection des informations de l'utilisateur pendant leur transfert du poste client au serveur et entre les différents serveurs, avec une authentification forte, une gestion des clefs, etc. En accordant une attention convenable aux différents aspects techniques et politiques qui couvrent ces trois domaines, vous pouvez implémenter une solution b-to-b robuste capable de survivre à la plupart des attaques. Après la mise en place d'une politique de sécurité globale, quels budgets les entreprises doivent-elles investir dans sa mise en application ? Le budget dépend des menaces encourues par l'entreprise et du niveau de sécurité requis pour protéger ses capitaux. Un médecin qui exploite les données de ses patients doit être en mesure de les mettre à l'écart des indiscrets. Et s'il ne le fait pas, personne d'autre ne le fera pour lui. De même, quand vous êtes mariés avec des enfants, vous vous devez de les protéger. En terme de budgets, je peux vous apporter la citation de Mitch Dem Bin, qui est l'un des membres les plus influents du Department of Justice américain. Il a piloté l'arrestation d'un grand nombre de hackers, et dispose en ce sens d'une réelle expérience de la cyber-criminalité. Selon lui, le coût exigé pour se défendre soi-même ou son entreprise représente à peu près les pertes engagées par cinq procès. Donc, si cinq personnes vous poursuivent devant les tribunaux, vous avez payé pour votre sécurité. Après, je ne connais pas le prix des investissements techniques, mais je sais combien coûtent les avocats. Donc, en implémentant une politique de sécurité, vous économisez cet argent, et en plus vous gagnez la confiance de vos clients. L'externalisation d'actifs informatiques dans des sociétés situées à l'étranger constitue-t-elle une véritable menace ? Comment travailler de façon sécurisée avec des prestataires à risque ? Cela se réduit toujours aux références du prestataire en matière de certifications, et à sa crédibilité. Les vrais professionnels en matière de sécurité, compétents et expérimentés, ont une éthique personnelle et professionnelle sérieuse dans leur domaine. Si vous travaillez avec un pays ou une société qui ne soutient pas ces règles éthiques et ne les encourage pas, alors vous pouvez rencontrer de sérieux problèmes. Certains pays comme la Chine cherchent à fournir des systèmes de sécurité comme moyen de garder un oeil sur la R&D de leurs clients et leurs informations internes. Les vrais professionnels de la sécurité, qui disposent de l'entraînement et des certifications appropriées (comme le CISSP, Certified information systems security professional) ne s'engagent pas dans de telles activités. De fait, confier son système en infogérance à un ressortissant français, ou à un autre situé à l'étranger, dépend véritablement des références certifiées et de l'éthique du prestataire ainsi que de ses employés qui fournissent le service. Par rapport aux grandes entreprises, les PME sont-elles aussi fréquemment la cible d'attaques ? Les PME sont même plus souvent attaquées. Tout simplement parce que les hackers se font la main sur les petites entreprises avant d'attaquer les grandes. Souvent, les PME n'implémentent pas de systèmes de surveillance car ceux-ci coûtent trop cher. Mais pour se protéger, il existe aussi des logiciels gratuits. Bien entendu, comme il s'agit le plus souvent de tests d'intrusion, le hack ne les tue pas. Pourriez-vous nous conter une annecdote concernant l'une de vos plus célèbres arrestations de hackers ? Je peux vous parler de mon intervention vis-à-vis du hacker Maffia Boy il y a près d'un an, qui avait lancé les attaques massives de déni de service sur des sites comme Yahoo, MSN et CNN. Une personne qui me connaît avait suggéré au FBI de me contacter. Je leur ai répondu que je pouvais le stopper net. En regardant les données récoltées à l'issue des attaques, nous savions à peu près où se trouvait ce hacker, c'est à dire au Canada. Le FBI a donc contacté la police canadienne. Et nous avons pu le localiser sur un forum de discussion en direct (de type irc) ouvert aux hackers et ainsi remonter jusqu'à son identité. Car les pirates se rencontrent beaucoup dans ce genre d'endroits pour échanger des idées. Sinon, j'ai aussi travaillé sur un cas d'extorsion de fonds de la part d'un pirate russe. Il était impliqué dans une importante affaire de hacking. Comment lutter efficacement contre les nouveaux virus mutants qui ne sont plus reconnus par les antivirus après avoir pris une nouvelle forme ? Il faut que l'application vérifie elle-même si elle n'a pas été modifiée en dehors d'un cadre normal. La technologie qui permet cela est un algorithme de substitution polycryptique, qui peut observer toutes les formes de modification en mémoire. Cette technologie existe depuis 15 ans, mais elle est très difficile à implémenter. Certains sites comme Netcraft ou NSI apportent une information de base, et d'autres plus en marge fournissent des outils de hacking. Peut-on lutter efficacement contre cela, notamment sur la partie légale ? Non, nous ne pouvons pas lutter contre cela. Et pourtant, certaines de ces informations servent à des fins de piratage industriel. En effet, il est extrêmement simple de trouver des détails sur le fonctionnement d'une entreprise et son infrastructure technique. Si je veux avoir ces informations, plusieurs possibilités s'offrent à moi, comme le social engineering (se faire passer par exemple pour quelqu'un appartenant à la même organisation, ndlr), les procédés techniques et d'autres chemins détournés comme le fait d'aborder un fournisseur. Croyez-vous en une coopération inter-gouvernementale en matière de cyber-criminalité, dans un contexte comme celui des Nations Unies ? Pas à court terme. Il existe trop de politiques différentes, trop de pays sans lois qui tiennent compte d'Internet et de la cyber-criminalité, et cela engage de fait une complexité trop grande pour le législateur. Peut-être qu'un jour, nous serons forcés d'y parvenir. Mais, tout comme au sujet de la piraterie en haute mer, certains pays continueront de ne pas supporter les lois tandis que d'autres en tireront avantage pour stopper les hackers et les criminels. Et c'est l'argument de la Loi qui revient tout au long de l'histoire humaine. Selon vous, existe-t-il de nouvelles menaces sur le point d'émerger ? Les technologies sans-fil constituent un véritable problème car les systèmes de sécurité sont trop faibles voire inexistants dans la plupart des équipements en vigueur. La convergence des plates-formes mobiles (téléphone + assistant personnel + réseau mobile étendu + logiciel PC traditionnel) offre un large potentiel pour garder des données sensibles dans un ordinateur de poche qui par ailleurs est accessible de l'extérieur par des voies simplistes. Par exemple, le manque de sécurité pour les systèmes de stockage intermédiaires comme le disque dur d'un Palm Pilot devient un réel problème qui prend de l'ampleur. Et concernant la multiplication des données personnelles ? Au fur et à mesure que les réseaux s'approchent des résidences, la possibilité pour la vie privé de se retrouver complètement compromise constitue aussi un vrai problème. Je m'attends ainsi à voir des données personnelles exploitées par des hackers ou même des sociétés de marketing direct, entre autres. Et ceci m'amène à la question des méthodes de data mining (statistiques prédictives de comportement) appliquées aux segments transactionnels. Alors que les personnes deviennent de plus en plus cyber-accessibles, il est de plus en plus facile de garder des enregistrements des endroits où elles se rendent, de ce qu'elles regardent et des magasins où elles achètent leurs produits. Et ceci, à la fois dans l'espace virtuel et physique. Si cette information est conservée dans des bases de données - et elle l'est - et si elle est accessible par les outils d'analyse adéquats - et elle l'est -, alors le fait de voir une entreprise développer des segments transactionnels très précis sur une base par personne devient très réel. Alors que cela constitue un avantage pour le marketing, cela représente aussi un gros problème pour la vie privée. Et je pense que celle-ci va devenir un défi très important pour l'industrie. Pour terminer, quelles conclusions apporteriez-vous aux entreprises pour qu'elles prennent réellement conscience de leurs besoins en terme de sécurité ? Tout d'abord, la sécurité est l'un des moteurs les plus importants pour les affaires. En abordant une approche client, la sécurité apparaît indispensable ne serait-ce que pour des questions de confiance. Or, nous sommes tous des clients et chacun est capable de comprendre cela. Derrière, il faut se demander quels sont les bénéfices d'une composante sécurité dans une perspective d'affaires. Ces bénéfices peuvent être induits par le simple fait d'être profitable et de conserver une bonne réputation. Mais sinon, nos clients comprennent très bien que certaines personnes peuvent les blesser et d'autres les protéger. Et notre rôle est de leur faire comprendre avant tout qu'ils sont leur première ligne de défense.
Outre les détails mentionnés dans l'introduction, Bill Hancock est également l'auteur de 29 livres sur le thème de la sécurité et des réseaux. En plus de sa fonction chez Exodus, il est rédacteur en chef de Computers and Security Magazine. Membre de plusieurs organisations industrielles (IEEE, ACM, DECUS, ANSI...), il participe régulièrement aux discussions concernant l'établissement de nouvelles normes. Au sein des nombreux Who's Who, il est particulièrement reconnu de la communauté mondiale, de celle des sciences et de l'ingénierie, et du monde de la finance et de l'industrie. Avant de mériter ses différentes certifications, CISSP mais également CND (Certified network designer) et CSA (Certified network analyst), il a obtenu les diplômes B.A., M.S. et Ph.D. en Computer Science.


	Gratuit - L'actualité des technologies e-business Toutes nos newsletters

Philippe Bodart
Aramiska

Le haut débit par satellite pour la communauté rurale est en pleine

Logiciels libres

	Retours d'expérience, panorama, analyses.
Sommaire

Failles de sécurité

	Vulnérabilités des logiciels & évaluation des risques.
Sommaire

Tous les dossiers

Les nouveautés

Les entreprises de l'Internet
Plus de 5000 sociétés référencées

Les prestataires
Plus de 2600 prestataires

Les fonds
Plus de 100 fiches descriptives

Le carnet des managers Internet
Plus de 1500 dirigeants

Guide des solutions
Plus de 310 briques logicielles

Des offres sur nos études et nos lettres