Sécurité et Cyber-criminalité

Depuis des années nous essayons de sensibiliser dirigeants et directions d'entreprise à la sécurité informatique, particulièrement à la Cybercriminalité. La sécurité informatique, notamment liée à Internet, touche tout le monde, « petits et grands », surtout là où vous ne vous y attendez pas.

Tour d'horizon.
1-0011376.JPG

Nous avons entendu toute sorte de remarques à ce sujet :

Je suis une PME, je ne vais pas dépenser une fortune en sécurité, de toute façon qui peut bien nous attaquer ? on est trop petits…

Oui, le WI-FI c'est pratique, tout le monde a ça, ça marche très bien, et on va pas non plus mettre un mot de passe trop compliqué sinon c'est long à taper…

Oui, les mots de passe email [remplacez par logiciel, gestion, dropbox!, ce que vous voulez], ne les faites pas trop compliqué pour les gens, déjà qu'ils retiennent pas ce que je leur dis, alors imaginez un mot de passe avec des lettres et des chiffres, de toute façon personne ne va rentrer chez nous, qu'est-ce qu'ils y feraient de toute façons, il y a un mot de passe…

sans oublier le sublime :

pas besoin d'antivirus, de toute façon ici personne ne va sur les sites pornos…

Vous n’êtes pas à l'abri

Internet, est loin d'être un monde de Bisounours. Connecter son ordinateur à Internet, c'est à dire au monde, c'est une opération qui de toute façon vous rend visibles, donc accessibles. Vous partagez de l'information sur un réseau public. Cette information est donc interceptable. Même « cachés » derrière un pare-feu ou un système de sécurité, il faut bien que les sites internet que vous consultez vous renvoie l'information que vous leur demandez. Vous êtes donc joignables.

Si vous êtes joignables à titre personnel, si vous êtes dans un réseau d'entreprise, par extension, tous les autres sont joignables : vos employés comme vos serveurs, donc vos fichiers, vos mails, etc.

Il n'y a qu'un seul moyen d'éviter le risque sur Internet (et encore) : débrancher la(les) prise(s).

Surtout, n'allez pas penser que parce que vous utilisez un Mac, un ordinateur sous Linux ou un matériel spécifique, vous serez plus épargnés que les autres !

Qui est dangereux ?

On parle de plusieurs profils :

  • Les hackers : sont ceux qui cherchent à « jouer » technologiquement avec la sécurité, les outils, les systèmes, notamment pour en révéler les failles. Ils ne sont pas dangereux et n'ont pas l'intention de nuire, souvent ils sont là pour protéger les autres et rendre visibles les failles pour qu'elles puissent être corrigées.
  • Les crakers : sont ceux qui vont le faire, mais pour de l'argent (vol, arnaques, …) avec comme arrière pensée dominante, le retour sur investissement. Ces personnes sont dangereuses.
  • Les cyber-[attaquants, manifestants, espions, terroristes, soldats] vont le faire par idéologie politique.
  • Votre voisin, celui de l'immeuble d'en face, votre collaborateur, la personne assise sur la table d'à côté au restaurant, etc. : qui vont véhiculer sans s'en apercevoir les outils qui mettront à mal votre sécurité.

Qui est concerné ?

  • l'individu en tant que particulier ;
  • l'individu en tant qu'employé ;
  • l'entreprise, PME comprises, ce qui est une tendance en pleine croissance ;
  • le secteur public : gouvernements, ministères, etc.

L'important est de comprendre que les personnes ou les organismes sont rarement visés à titre individuel. Vous faites partie de « groupes » socio-professionnels, et c'est en cela que les attaques sur Internet vous visent.

C'est un peu comme les maladies, surtout ne vous dites pas que cela n'arrive qu'aux autres. Il se trouve peut être que vous êtes déjà concernés sans le savoir.

Au mois d'août dernier, Symantec rapporte qu'une quinzaine d'entreprises françaises (PME) se sont faites détrousser : argent viré sur des comptes offshore, le coupable n'a pas été trouvé 5 mois après.

Sécurité de quoi ?

Pour faire quoi ?

  • vol, revente, analyse de masse de données confidentielles ;
  • utilisation de vos ressources :
    • serveurs internet,
    • serveurs de mail,
    • capacité de calcul,
    • bande passante,
    • etc.
  • vol d'argent ;
  • chantage

Pour cela, de très nombreuse pratiques sont possibles :

  • une boutique en ligne peut être mise en déni de service c'est à dire qu'aucun client ne pourra plus passer de commandes jusqu'à ce que vous payez une rançon ;
  • transferts d'argent sur des comptes offshore ;
  • mise en place de sites illicites à votre insu sur votre matériel ;
  • utilisation de votre bande passante, pour vous faire passer comme criminel à la place de l'attaquant, ou simplement déporter leur facturation sur votre entreprise ;
  • décimer votre informatique pour favoriser un secteur concurrent, par idéologie ou vengeance pure ;
  • utiliser votre téléphonie (pour se cacher) ;
  • envoyer des e-mails depuis vos équipements, vous mettant ainsi en position de spammeur et dans l'impossibilité de communiquer correctement par la suite (en tout cas le rétablissement de votre situation va vous coûter une fortune) ;
  • recherche d'informations sur votre R&D et vos prochains projets ;
  • etc.

Un exemple détaillé

Une secrétaire reçoit un e-mail de la part d'une personne de l'entreprise (en tout cas elle le croit). Par téléphone, toujours par usurpation d'identité, on demande à la secrétaire de cliquer sur un lien dans ce email.

Le cybercriminel est alors entré dans le réseau de l'entreprise et a accès à tout. Il peut monitorer le réseau et récuperer tout ce qui passe, y compris un des répertoires de l'entreprise, qui contient les coordonnées de tous ses intervenants informatiques.

L'attaquant appelle le fournisseur internet pour rediriger la téléphonie ou la dédoubler sur un autre compte. Puis, il fait une demande de virement d'argent par le biais du site bancaire de l'entreprise. Vu les montants en jeu, la banque appelle l'entreprise pour confirmer, l'appel est capté par le criminel. Il répond à la banque que l'opération est bien faite à sa demande, et confirme les transactions.

Vous n'avez rien vu.

On peut facilement faire plonger une PME dans une situation dramatique. Par exemple, l'examen des fichiers de ses serveurs peut permettre de voler le plan de reprise d'activité de l'entreprise, cibler les points de chute, les faire tomber, et faire tomber l'informatique principale de l'entreprise.

Le Cyber-espionnage

Le cyber-espionnage est la forme moderne de l'espionnage industriel. On imagine souvent un espion avec un son appareil photo, glissant dans les couloirs incognito et mettant en place des écoutes téléphoniques. Tout ceci a bien changé, désormais tout ceci vous est invisible, et surtout plus limité à l'espionnage d'une entreprise en particulier.

Par l'écoute permanente des flux internet, peu ou pas protégés, les informations sont récoltées en masse, sont filtrées, stockées, décryptées, analysées. Le tout se fait automatiquement, en masse et avec peu ou pas d'interventions manuelles.

N'allez pas croire que seuls les ministères et des entreprises comme Dassault sont seules sur écoute. Vous pouvez être dans la boucle, vous ne le saurez pas.

Les entreprises ayant conscience de ce risque sont plutôt très bien protégées, et le risque reste mineur pour elles... mais les autres ? que vous ayez une chaîne de jouets, meubles, vêtements, restaurants, etc. croyez vous que vos informations n'intéressent personne ? bien au contraire.

Les formes d'attaque

Le Virus

On n'en trouve plus trop en fait. Détruire pour détruire n'est pas très rentable. C'est une forme d'insécurité bien à la baisse.

Note sur le « Spam »

Le « Spam », ces mails qui polluent votre boîte aux lettres, sont en perte de vitesse. Souvent, ceux-ci ne sont pas dangereux en soit, mais l'endroit où ils vous conduisent peuvent l'être.

En août 2010 nous avons atteint le plus haut niveau de spam envoyés. Vous avez du constater depuis une baisse du spam, liée à plusieurs facteurs : meilleure protection des acteurs internet, l'utilisateur a fini par comprendre, ou le criminel a trouvé des solutions plus rentables. Il est aujourd'hui plus simple pour eux d'attaquer les réseaux sociaux, les applications mobiles, etc.

Le botnet

Ce qui touche le plus de monde. Il consiste en un réseau de PC (le votre, celui du voisin, vos serveurs), zombies, c'est à dire qui ne savent pas qu'ils sont infectés. On en compte, selon les botnet, des dizaines de milliers, voir des millions, contrôlés par des cybercriminels comme s'ils étaient le leur. Typiquement le spam provient de ces ordinateurs. 6,5 millions d'ordinateurs sont touchés dans le monde, et leurs utilisateurs ne s'en rendent même pas compte. Cela peut être chez nous.

Les failles dans les logiciels

un logiciel contient toujours des bugs ou des failles de sécurité. Il faut que tous les logiciels de l'entreprise soient à jour il compris le système d'exploitation. Si vous avez 50 PC il faut le gérer. Pour les serveurs c'est critique.

Le navigateur Internet, par exemple, est le logiciel le plus à risque. Contrairement, à ce que vous pourriez pensez, 61 % des sites qui vont vous infecter sont des sites très connus. On s'aperçoit que les sites pornographiques payants font partie des sites les moins à risque sur internet, comparativement aux blogs, sites institutionnels ou d'entreprise.

Entre la chaise et le clavier

Gentiment appelée PEBCAK (Problem Exists Between Chair And Keyboard) par les techniciens, c'est la plus grande faille qu'il soit et une des plus utilisées.

On appelle ce type d'attaque, une attaque sociale.

Ce sont les personnes elles-même qui, par abus de confiance, méconnaissance, négligence, usurpation d'identités, vont « faire entrer » le criminel dans le réseau de l'entreprise, lui donner ses codes d'accès, et souvent même en « croyant bien faire ». On assiste ici à un florilèges de disciplines :

  • attaques à la webcam et chantage (mais si, mais si) ;
  • envoi d'argent à l'étranger pour une jeune fille malade ;
  • donner sont mot de passe sur un faux site bancaire ;
  • envoyer son mot de passe réseau à un inconnu ;
  • etc.

tout est possible ! et tout a été vu.

On peut se protéger

Vous parler des ensembles à protéger peut prendre beaucoup de temps. N'hésitez pas à nous contacter.

Contrôler les niveaux d'accès

Contrôler qui à accès à quoi

  • l'employé : combien d'employés ont encore accès à des informations sensibles 3 ans après leur départ ? comment gérez vous les entrées sorties, les accès, les niveaux d'autorisation ?
  • l'invité : comment gérer vous le Wifi pour les personnes invitées occasionnellement dans votre entreprise, ne posent-ils pas un risque ? que peut-il voir chez vous ?
  • combien vont être autonomes à ouvrir des services sur internet sur des systèmes qu'ils trouvereont « faciles d'utilisation » et y disperseront les informations de l'entreprise. Qui va utiliser du ftp, du Dropbox, des services tiers ? le savez-vous ?

Prendre conscience

  • prendre conscience est l'étape indispensable à la sécurité, de l'employé aux dirigeants ;
  • la vulnérabilité est le plus souvent « entre la chaîse et le clavier » ;
  • quand c'est trop beau pour être honnête, c'est juste trop* beau. Des services trop simples ou trop peu chers cachent souvent des opérations de traitement de vos données en masse ; n'allez pas croire que les gens travaillent pour rien et créent des services Internet gratuitement.

Il n'y a pas de patch correctif à la stupidité

– Kevin Mitnick

Attention à la mobilité

Éviter d'utiliser le wifi des lieux publics. Vous ne savez pas quel est le niveau de protection. Certains sont bien protégés et d'autres non. Sur certains Wifi (nous avons même vu cela sur un espace de co-working !!), on peut voir le PC du voisin ! En tout cas n'allez pas sur le site internet de votre banque ou d'autres sites sensibles. C'est un lieu public et tout le monde peut écouter, capter les communications et les décrypter.

Attention au points d'accès wifi utilisés. Il est très simple de vous faire avoir. En tant que Cybercriminel, je m'installe dans un café, je crée un point d'accès « Café de la gare gratuit », tout le monde le voit et comme il y a beaucoup de gens qui s'y connectent, je fais pouvoir enregistrer tout ce qui se passe. Je peux meme avoir sur ce point d'accès de fausses pages d'accueil pour les principales banques internet, où les gens n'hésiteront pas à mettre leur nom d'utilisateur et leur mot de passe, et donc, les récupérer. Avoir la fameuse icône « sécurité » (https, cadenas dans la barre d'adresse) ne changera pas grand chose se jour là.

Les applications : quand vous installez une application sur mobile, regardez systématiquement quels droits d'accès l'application demande au moment de son installation. Posez vous des questions quand vous voyez qu'une application « lampe de poche » est autorisée à envoyer des SMS ou à vous géolocaliser. Pensez toujours : rien n'est gratuit, vous le payez tot ou tard. Si ce n'est pas directement, cela sera pas revente de vos informations à d'autres entreprises.

Sécuriser machines, logiciels, serveurs, etc.

Parlons du minimum vital :

  • Vos anti-virus, anti-spam, logiciels de sécurité sont ils fonctionnels et à jour ? En cas de problème détecté, quel est le plan d'action mis en place ? En un clic, êtes vous capables de savoir que tout va bien ?
  • Tous vos PC ont ils bien un code utilisateur séparé du code administrateur ?
  • Tous vos PC sont ils à jour (de Windows à Office en passant par tous les logiciels installés) ? Avez-vous encore d'anciens logiciels à risque (Outlook Express, Outlook, Internet Explorer 6,7,8, etc.). Comment le savez-vous ?
  • Vos serveurs accessibles ou communicant sur Internet sont ils bien en Zone Démilitarisée ? Avez-vous les systèmes de détection d'intrusion nécessaires ? Comment êtes vous avertis en cas de problème ? Tous les OS, logiciels sont-ils à jour ? Votre site web est-il bien sous maintenance technique lui-aussi ?
  • Avez-vous pensé à la sécurité de votre téléphonie (PABX VO-IP) ? Comment est-elle protégée ? Qui fait les mises à jour ? Comment ?
  • Côté réseau Interne, qui lui aussi est visible par internet, ne serait-ce parce que tout le monde à un Smartphone avec Wifi dans l'entreprise, tout est-il protégé ? Un téléphone infecté peut il accéder à votre serveur de fichiers ?
  • Comment sont traités les gros fichiers en provenance de l'extérieur, c'est à dire qui ne passent pas par les antivirus de votre messagerie : bases de données achetées, fichiers clients, fichiers à imprimer, powerpoint ? Qui utilise des WeTransfer, Yousendit ? Que font-ils quand ils reçoivent un fichier ? Par quelles mains passent les clefs USB et disques externes que vous recevez ?
  • Vous développez vos propres logiciels ? d'où vient le code source des multiples couches applicatives que vous intégrez ? Est-il fiable ? d'où vient-il ? comment est-il mis à jour et corrigé ?
  • Vous comprendrez que la mobilité pousse à d'autres enjeux. Ce n'est pas parce que l'on voit « sécurisé » dans la barre d'adresse de son navigateur que ça l'est. Se connecter sans VPN par Wifi public aux applications métiers de votre entreprise, cela peut relever de la folie. De même il va falloir penser à protéger vos téléphones.

Les réseaux sociaux

Vous commencez à vous faire connaître sur Internet, votre marque prend sont envol. Que se passe-t-il si un petit malin souhaite vous faire du tort sur Internet facilement ? Il utilise les réseaux sociaux.

Propager une fausse rumeur n'a jamais été aussi rapide.

Dans cette optique, une fausse alerte d'attentat à la maison blanche peut faire baisser le cours du dollar, ne serait-ce qu'une demi-heure, par une attaque des réseaux sociaux. Lié à un échanges de monnaies pendant la période, l'opération peut être extrêmement rentable.

Si, sous plusieurs comptes sociaux très suivis, un message d'alerte est lancé (par exemple, « telle chaîne de restaurants promet de faire du frais, mais en réalité tout est congelé »). Imaginez le drame si vous ne réagissez pas tout de suite.

Le plan de reprise d'activité

Votre entreprise peut être mise à mal à n'importe quel moment.

  • Que faites vous en cas d'attaque cybercriminelle qui coupe votre activité ?
  • Que faites vous en cas d'incendie, innondation, panne éléctrique ?
  • Que faites vous si un événement grave se met a couper votre datacenter du reste du monde, y compris en « cloud », si votre fournisseur est injoignable sur une de ses zones ? (ne rigolez pas c'est déjà arrivé).

Le plan de reprise d'activité est un plan de secours à mettre en place en cas de chute de l'informatique. Celui-ci est impératif et doit être testé régulièrement. Comprenez que si un accident arrive à votre entreprise et que celui-ci n'existe pas, vous risquez très fort de devoir mettre la clef sous la porte.

Cyber-défense

Des malwares (mauvais logiciels) savent aujourd'hui attaquer des programmes de production. Par exemple, si vous avez une usine de production, vous avez certainement un logiciel identique à d'autres usines de production.

Si une entreprise d'un pays voulait mettre à mal la production française de viande de cheval, par exemple, il lui suffirait de commander et lancer un virus contre les différents types de logiciels utilisés par ce type d'usine.

Le temps que votre système se remette en fonction, lui il peut vendre, pendant que vous n’êtes plus disponibles. La question ici n'est pas de savoir si vous êtes importants , le problème est que vous êtes dans une zone de concurrence. Ce n'est pas dirigé contre vous, mais contre votre activité.

Symantec a détecté il y a quelques temps, un virus de ce type, Stuxnet, dirigé contre les usines d'uranium Iraniennes, dans le but d'appauvrir l'uranium sortant des catalyseurs des usines.

Le « Cloud » et ses services

« Faut il aller dans le Cloud » ?

Vous vous êtes peut-être déjà posé la question. En réalité, vous y êtes déjà depuis très longtemps, le « Cloud » n'est qu'une notion marketing pour cibler certains usages sur Internet (un autre article traite de ce sujet).

Pour de nombreux services Internet, vous contractualisez une relation avec un prestataire de services (même si vous ne le voyez pas). Certains prestataires sont sérieux, d'autres pas recommandables du tout. Plusieurs questions apparaissent :

  • si le service est gratuit, comment gagnent-ils de l'argent ?
  • quelles sont les conditions générales d'utilisation (celles que vous ne lisez pas…) ?
  • comment la sécurité est-elle assurée ?
  • si je mets mes informations à un endroit que je ne contrôle pas, quels sont les risques ?

Choisir un prestataire, c'est comme choisir de confier son argent à une banque, ou au premier venu dans la rue. L'habit ne fait pas non plus le moine, ni la réputation. De même en parlant des banques, en terme de sécurité, ce sont très très loin d'être des références !

Traduction informatique de « l'habit ne fait pas le moine » : « ce n'est pas parce qu’un prestataire semble fiable qu'il l'est ! »

Ce n'est pas non plus, parce que tout le monde l'utilise que vous devez l'utiliser aussi ! Nous avons de nombreux exemples de services très connus que nous vous déconseillerons d'utiliser malgré leur réputation.

Est-ce que cela doit vous empêcher d'utiliser des services Internet ? Certainement pas, la question est plutôt « lesquels ?». Mettre ses informations « sur le Cloud » [Note : nous détestons cette expression], c'est un risque. Point.

Comparativement, est-ce plus risqué que d'avoir toute votre informatique sur vos serveurs dans votre bâtiment, entreprise, là où de toute façon vous n'arrivez pas à gérer votre sécurité réseau vous-même, où il n'y a pas forcément de sécurité électrique, une climatisation moyenne, et ou vous pouvez tout perdre si un feu se déclare...

Le risque se gère, tout comme sur le Cloud.

Quid du Big Data ?

C'est un peu comme le « Cloud », on en parle beaucoup aujourd'hui... sauf qu'en fait cela existe depuis très longtemps.

Pour simplifier, de plus en plus d'informations sur les personnes et les sociétés sont collectées par les services Internet. Ce volume d'informations est de plus en plus grand et atteind des dimensions qui sortent du cadre de ce que le matériel et les bases de données traditionnelles peuvent supporter.

Il a fallu inventer de nouveaux logiciels et de nouveaux systèmes de stockage et d'analyse rapide de ce données, qui grosso modo, qui ne tiennent plus sur un disque dur seul, mais qui peuvent être réparties sur des centaines de machines.

Peu d'entreprises sont directement concernées par cet aspect. Il est de bonne mode de mettre ce mot à toutes les sauces. Si vous avez plus de quelques Tera-octets de données à traiter en base de données, vous allez pouvoir vous poser la question, sinon oubliez.

En soit, il n'y a aucun « danger direct », pensez juste qu'aujourd'hui de larges volumes de données n'ont plus à être traités par des super-ordinateurs, mais que ceci peut se faire en réseau à une vitesse incroyable. Qu'il s'agisse de décryptage de mots de passe ou d'analyses comportementales, c'est à la portée d'une petite entreprise à peu de frais, voir d'un individu (qui a un peu d'économies).

Le côté sympathique : on peut faire du prédictif. À force de regarder vos informations on va pouvoir vous prévenir « si tu continues a manger comme cela, tu vas prendre deux kilos ».

Moins sympathique, on peut anticiper la publicité à vous proposer « tiens, Monsieur passe ici tous les jours, mettons-lui une petite publicité régime tout de suite, vu ce qu'il a commandé comme chocolat pendant les fêtes ». On peut tout aussi bien vous envoyer un texto avec le plat du jour quand vous êtes dans le quartier d'un restaurant à vos goûts.

Il n'y a pas réellement de cybercriminalité lié à ceci, mais intrusion dans votre vie personnelle… quand à votre entreprise, vous imaginez ce côté prédictif avec tous les éléments qu'elle génère sur internet ? Vous n’êtes pas côtés en bourse (sinon vous ne liriez peut-être pas nos articles), mais imaginez les dégâts qui peuvent se produire sur votre valeur cotée si ce type d'analyse était à la portée de traders ? Ne serait-ce qu'une captation de vos emails, liés à un système d'analyses, un bon logiciel d'étude de vocabulaire, et la puissance actuelle de traitement à disposition de chacun, envisagez les dégâts.

En conclusion

Nous n'avons fait effleurer les différentes notions que regroupent la Cybercriminalité et la sécurité de votre entreprise.

Le sujet est très vaste, et nous ne pouvons vous conseiller qu'une seule chose : faites faire un audit sécurité. Ceci vous donnera une liste de projets de mise en sécurité à réaliser.

Vous ne pouvez pas intervenir seuls, tant les à priori généraux peuvent vous induire en erreur. N'oubliez pas non plus qu'il s'agit d'un ensemble, il faut avoir une vision large du problème.

En fonction de vos budgets et des risques, vous pourrez prioriser et gérer ceci avec suffisament de perspective.

Une session de formation de vos employés, lors de leur intégration dans l'entreprise est aussi une des meilleures choses à faire.

Enfin, ne soyez pas rassurés car vous avez un anti-virus sur votre PC, êtes derrière un Firewall et n'allez pas sur les sites pornographiques. Cela ne sert pas à rien, mais tout simplement, la plupart du temps, les problèmes ne viennent pas de là.

comments powered by Disqus