JDNet
Solutions : Existe-t-il des systèmes de sécurité
inviolables ?
Bill Hancock :
Non. Pour pénétrer
au sein d'un système, ce n'est qu'une question de temps
et d'argent.
Sur
le nombre total de sites web dits critiques, combien sont-ils
insuffisamment protégés selon vous ?
La majorité des sites ne sont pas assez protégés
contre les attaques les plus courantes. Pour avoir des chiffres
précis, il faut aller voir sur le site SecurityStats.com.
Les statistiques doivent être de l'ordre de 70 à
75 % de sites vulnérables aux tentatives d'intrusion
communes. En général, le problème vient
du fait qu'un firewall garde de certaines attaques mais ne
suffit pas à garantir une protection efficace. Il faut
aussi, par exemple, combler les failles des applications et
mettre en place un système d'identification par mot
de passe. Des techniques différentes doivent être
déployées pour parer à différentes
catégories de risques.
Quelles
sont les principales composantes d'une infrastructure de sécurité
véritablement efficace ?
Ce sont toutes les technologies de sécurité
qui apportent une défense de base pour identifier et
empêcher l'aboutissement des attaques. Ce qui inclut
les différents moyens possibles pour détecter
et contrer tous les types d'attaques dirigées vers
les capitaux d'informations clients.
Ensuite, il faut pouvoir assurer une surveillance des événements
liés à la sécurité. Et ceci implique
que des sondes soient mises en place, que la surveillance
soit opérée en 24x7, et qu'elle fasse intervenir
des hommes pour regarder les logs de sortie en quête
de problèmes éventuels. De plus, une boucle
d'action doit pouvoir prendre la main lorsque le système
de surveillance détecte quelque chose de grave.
Des locaux et du personnel consacrés à la riposte
technique (incident response) doivent aussi pouvoir intervenir
en cas d'urgence.
Les
extranets et les sites reliés à des applications
back-office constituent-ils une porte ouverte vers les réseaux
internes ?
Pas vraiment. Le risque vient plutôt de l'intranet.
90 % des pertes sont dues à des personnes qui
ont accès au réseau interne. Il y a peut-être
beaucoup plus d'attaques sur des sites Internet et extranet,
mais la plupart du temps les hackers ne pénètrent
pas sur le réseau interne. La plus grande menace vient
donc toujours de l'intérieur.
Hormis
le vol de mots de passe qui impose l'installation d'un système
de signature unique (SSO), quels sont les principaux risques
?
Le plus grand risque vient incontestablement des systèmes
auxquels les correctifs disponibles n'ont pas été
appliqués. Il y a même parfois une possibilité
d'être tué dans l'exercice de sa fonction, si
un autre employé à décidé d'exploiter
une faille et de faire exploser la souris à distance
par exemple. C'est donc l'une des plus grandes menaces aujourd'hui.
Si vous n'appliquez pas les correctifs de façon significative,
ne venez pas vous plaindre. Et c'est la même chose à
l'intérieur d'un appartement : si vous ne rangez rien,
vous ne pouvez plus rien retrouver. Vous n'avez donc pas le
choix.
Que
pensez-vous de la politique d'éditeurs comme Microsoft
dans ce domaine ?
Je pense qu'ils sont assez sérieux et qu'ils rencontrent
les mêmes difficultés que d'autres éditeurs.
Mais je pense aussi qu'ils ne fournissent pas leurs correctifs
suffisamment tôt.
Pour
revenir à un contexte d'échanges b-to-b, existe-t-il
des menaces très spécifiques sur les places
de marché à plusieurs niveaux ? Et comment y
pallier ?
Ces places de marché soulèvent trois préoccupations
principales en matière de sécurité :
le poste client, la plate-forme serveur, et la sécurisation
des protocoles transactionnels. Du côté utilisateur,
vous devez tenir compte des éventuelles failles du
système client, installer des firewalls, des réseaux
privés virtuels, chiffrer l'encapsulation, assurer
l'identification de la personne, etc. Du côté
serveur, il faut couvrir les mêmes domaines, plus d'autres
comme la sécurité d'accès au back-end,
le chiffrement des champs, la protection de la base de données...
Enfin, concernant la partie transactionnelle, il faut assurer
la protection des informations de l'utilisateur pendant leur
transfert du poste client au serveur et entre les différents
serveurs, avec une authentification forte, une gestion des
clefs, etc. En accordant une attention convenable aux différents
aspects techniques et politiques qui couvrent ces trois domaines,
vous pouvez implémenter une solution b-to-b robuste
capable de survivre à la plupart des attaques.
Après
la mise en place d'une politique de sécurité
globale, quels budgets les entreprises doivent-elles investir
dans sa mise en application ?
Le budget dépend des menaces encourues par l'entreprise
et du niveau de sécurité requis pour protéger
ses capitaux. Un médecin qui exploite les données
de ses patients doit être en mesure de les mettre à
l'écart des indiscrets. Et s'il ne le fait pas, personne
d'autre ne le fera pour lui. De même, quand vous êtes
mariés avec des enfants, vous vous devez de les protéger.
En terme de budgets, je peux vous apporter la citation de
Mitch Dem Bin, qui est l'un des membres les plus influents
du Department of Justice américain. Il a piloté
l'arrestation d'un grand nombre de hackers, et dispose en
ce sens d'une réelle expérience de la cyber-criminalité.
Selon lui, le coût exigé pour se défendre
soi-même ou son entreprise représente à
peu près les pertes engagées par cinq procès.
Donc, si cinq personnes vous poursuivent devant les tribunaux,
vous avez payé pour votre sécurité. Après,
je ne connais pas le prix des investissements techniques,
mais je sais combien coûtent les avocats. Donc, en implémentant
une politique de sécurité, vous économisez
cet argent, et en plus vous gagnez la confiance de vos clients.
L'externalisation
d'actifs informatiques dans des sociétés situées
à l'étranger constitue-t-elle une véritable
menace ? Comment travailler de façon sécurisée
avec des prestataires à risque ?
Cela se réduit toujours aux références du prestataire
en matière de certifications, et à sa crédibilité.
Les vrais professionnels en matière de sécurité,
compétents et expérimentés, ont une éthique personnelle et
professionnelle sérieuse dans leur domaine. Si vous travaillez
avec un pays ou une société qui ne soutient
pas ces règles éthiques et ne les encourage
pas, alors vous pouvez rencontrer de sérieux problèmes.
Certains pays comme la Chine cherchent à fournir des systèmes
de sécurité comme moyen de garder un oeil sur la R&D de leurs
clients et leurs informations internes. Les vrais professionnels
de la sécurité, qui disposent de l'entraînement et des certifications
appropriées (comme le CISSP, Certified information
systems security professional) ne s'engagent pas dans de telles
activités. De fait, confier son système en infogérance
à un ressortissant français, ou à un autre situé
à l'étranger, dépend véritablement des
références certifiées et de l'éthique
du prestataire ainsi que de ses employés qui fournissent
le service.
Par
rapport aux grandes entreprises, les PME sont-elles aussi
fréquemment la cible d'attaques ?
Les PME sont même plus souvent attaquées. Tout
simplement parce que les hackers se font la main sur les petites
entreprises avant d'attaquer les grandes. Souvent, les PME
n'implémentent pas de systèmes de surveillance
car ceux-ci coûtent trop cher. Mais pour se protéger,
il existe aussi des logiciels gratuits. Bien entendu, comme
il s'agit le plus souvent de tests d'intrusion, le hack ne
les tue pas.
Pourriez-vous
nous conter une annecdote concernant l'une de vos plus célèbres
arrestations de hackers ?
Je peux vous parler de mon intervention vis-à-vis du
hacker Maffia Boy il y a près d'un an, qui avait lancé
les attaques massives de déni de service sur des sites
comme Yahoo, MSN et CNN. Une personne qui me connaît
avait suggéré au FBI de me contacter. Je leur
ai répondu que je pouvais le stopper net. En regardant
les données récoltées à l'issue
des attaques, nous savions à peu près où
se trouvait ce hacker, c'est à dire au Canada. Le FBI
a donc contacté la police canadienne. Et nous avons
pu le localiser sur un forum de discussion en direct (de type
irc) ouvert aux hackers et ainsi remonter jusqu'à son
identité. Car les pirates se rencontrent beaucoup dans
ce genre d'endroits pour échanger des idées.
Sinon, j'ai aussi travaillé sur un cas d'extorsion
de fonds de la part d'un pirate russe. Il était impliqué
dans une importante affaire de hacking.
Comment
lutter efficacement contre les nouveaux virus mutants qui
ne sont plus reconnus par les antivirus après avoir
pris une nouvelle forme ?
Il faut que l'application vérifie elle-même si
elle n'a pas été modifiée en dehors d'un
cadre normal. La technologie qui permet cela est un algorithme
de substitution polycryptique, qui peut observer toutes les
formes de modification en mémoire. Cette technologie
existe depuis 15 ans, mais elle est très difficile
à implémenter.
Certains
sites comme Netcraft ou NSI apportent une information de base,
et d'autres plus en marge fournissent des outils de hacking.
Peut-on lutter efficacement contre cela, notamment sur la
partie légale ?
Non, nous ne pouvons pas lutter contre cela. Et pourtant,
certaines de ces informations servent à des fins de
piratage industriel. En effet, il est extrêmement simple
de trouver des détails sur le fonctionnement d'une
entreprise et son infrastructure technique. Si je veux avoir
ces informations, plusieurs possibilités s'offrent
à moi, comme le social engineering (se faire passer
par exemple pour quelqu'un appartenant à la même
organisation, ndlr), les procédés techniques
et d'autres chemins détournés comme le fait
d'aborder un fournisseur.
Croyez-vous
en une coopération inter-gouvernementale en matière
de cyber-criminalité, dans un contexte comme celui
des Nations Unies ?
Pas à court terme. Il existe trop de politiques différentes,
trop de pays sans lois qui tiennent compte d'Internet et de
la cyber-criminalité, et cela engage de fait une complexité
trop grande pour le législateur. Peut-être qu'un
jour, nous serons forcés d'y parvenir. Mais, tout comme
au sujet de la piraterie en haute mer, certains
pays continueront de ne pas supporter les lois tandis que
d'autres en tireront avantage pour stopper les hackers et
les criminels. Et c'est l'argument de la Loi qui revient tout
au long de l'histoire humaine.
Selon
vous, existe-t-il de nouvelles menaces sur le point d'émerger
?
Les technologies sans-fil constituent un véritable
problème car les systèmes de sécurité
sont trop faibles voire inexistants dans la plupart des équipements
en vigueur. La convergence des plates-formes mobiles (téléphone
+ assistant personnel + réseau mobile étendu
+ logiciel PC traditionnel) offre un large potentiel pour
garder des données sensibles dans un ordinateur de
poche qui par ailleurs est accessible de l'extérieur
par des voies simplistes. Par exemple, le manque de sécurité
pour les systèmes de stockage intermédiaires
comme le disque dur d'un Palm Pilot devient un réel
problème qui prend de l'ampleur.
Et
concernant la multiplication des données personnelles
?
Au fur et à mesure que les réseaux s'approchent
des résidences, la possibilité pour la vie privé
de se retrouver complètement compromise constitue aussi
un vrai problème. Je m'attends ainsi à voir
des données personnelles exploitées par des
hackers ou même des sociétés de marketing
direct, entre autres.
Et ceci m'amène à la question des méthodes
de data mining (statistiques prédictives de comportement)
appliquées aux segments transactionnels. Alors que
les personnes deviennent de plus en plus cyber-accessibles,
il est de plus en plus facile de garder des enregistrements
des endroits où elles se rendent, de ce qu'elles regardent
et des magasins où elles achètent leurs produits.
Et ceci, à la fois dans l'espace virtuel et physique.
Si cette information est conservée dans des bases de
données - et elle l'est - et si elle est
accessible par les outils d'analyse adéquats - et
elle l'est -, alors le fait de voir une entreprise développer
des segments transactionnels très précis sur
une base par personne devient très réel. Alors
que cela constitue un avantage pour le marketing, cela représente
aussi un gros problème pour la vie privée. Et
je pense que celle-ci va devenir un défi très
important pour l'industrie.
Pour
terminer, quelles conclusions apporteriez-vous aux entreprises
pour qu'elles prennent réellement conscience de leurs
besoins en terme de sécurité ?
Tout d'abord, la sécurité est l'un des moteurs
les plus importants pour les affaires. En abordant une approche
client, la sécurité apparaît indispensable
ne serait-ce que pour des questions de confiance. Or, nous
sommes tous des clients et chacun est capable de comprendre
cela. Derrière, il faut se demander quels sont les
bénéfices d'une composante sécurité
dans une perspective d'affaires. Ces bénéfices
peuvent être induits par le simple fait d'être
profitable et de conserver une bonne réputation. Mais
sinon, nos clients comprennent très bien que certaines
personnes peuvent les blesser et d'autres les protéger.
Et notre rôle est de leur faire comprendre avant tout
qu'ils sont leur première ligne de défense.
|