Actualité

Le hacking dans les entreprises : une réalité rarement combattue

jpardenoy.com

jpardenoy.com

Pour une entreprise, le système d’information représente sa valeur, c’est l’essentiel à protéger du hacking.

Lorsque des ESN proposent des consultants IT à de grands groupes pour sécuriser le système d’information, la réponse est souvent « Vous n’êtes pas référencées parce que votre société existe depuis quelques mois seulement et personne ne vous connait. Nous n’avons pas les moyens de vous tester. Parallèlement, nos équipes en interne s’occupent de cet aspect avec notre RSSI et notre système est sécurisé à 99 %. »

Lorsque vous montrez à votre interlocuteur que vous arrivez à pénétrer son système d’information de la rue d’en face ou de l’accueil, il vous dit « Ce que vous me montrez est illégal et nous n’avons pas de budget. »

Quelques mois plus tard, nous retrouvons cette société hackée qui se plaint lors de reportages TV. Le RSSI est licencié et un appel d’offres naît. Souvenez-vous la cyberattaque de TV5 Monde en 2015.

Des règles et des bonnes pratiques doivent être mises en place pour ne pas créer de brèche humaine, une faille trop souvent ignorée et bien connue des attaquants. Si vous visitez les hôpitaux et les cliniques de la France, vous allez voir des brèches humaines, des OS pour lesquels le support n’existe plus, des postes de travail non sécurisés….

L’attaque peut se faire par un « defacing » (modification des pages du site pour indiquer que celui-ci a été piraté) du site de l’entreprise, nuisant ainsi à l’image de la société. Ces attaques mettant en lumière des vulnérabilités, celles-ci seront souvent exploitées pour voler des informations ou diffuser de fausses informations sur l’entreprise.

Dans un contexte global, la sécurité s’effectue :

  • Au niveau utilisateur, les acteurs doivent comprendre l’importance de leur position ;
  • Au niveau des technologies utilisées ;
  • Au niveau des données en elles-mêmes : droits d’accès ;
  • Au niveau physique, de l’accès à l’infrastructure, au matériel…

Cependant, la sécurité ne doit pas être une gêne au quotidien et doit permettre d’utiliser le système en toute confiance. La circulation de mots de passe en clair (Post-it, mail) est inadmissible.

Il est fondamental de faire appel à un spécialiste externe de confiance pour tester le réseau et le système d’information dans des conditions réelles d’attaque, afin d’en déceler les forces et les faiblesses à corriger. Il doit être missionné pour 6 mois minimum sans que personne ne sache qu’il l’est pour son activité de contrôle et de correction excepté le Décisionnaire. Aujourd’hui dans les grands comptes, on le retrouve comme chef de projets techniques transverse. Dans la réalité, sa mission est toute autre. Il doit être un excellent acteur pour donner le change à ses collègues.

Ces spécialistes sont des hackers professionnels, qui sont accrédités pour réaliser des tests d’intrusion, en prenant connaissance de l’état d’une architecture à un instant T. Ils connaissent en effet les moyens de déjouer la sécurité d’un système, de la mettre à l’épreuve. Les tests d’intrusion se font en accord avec les clients et la législation.

Vous verrez très souvent un hacker travailler avec un laptop de type Mac Book Pro dans le monde informatique du PC avec des OS de type Windows. Mac OS X a été fabriqué à partir d’un OS UNIX. Si vous souhaitez du résultat à son action, vous ne devrez jamais lui interdire de travailler avec son matériel personnel. Le but d’un audit de sécurité est de se mettre dans la peau de l’attaquant. Et l’attaquant peut avoir 2 types d’OS : Microsoft, Linux.

Le but est de tester le système en conditions réelles pour en déceler les forces et les faiblesses.

  • L’équipe est-elle fiable ?
  • Les mots de passe sont-ils robustes ?
  • Les mots de passe sont-ils changés à chaque départ d’un membre de l’équipe informatique ?
  • Ne sont-ils pas accessibles à tout un chacun ?
  • Team Viewer et les logiciels de mêmes fonctionnalités sont-ils bien interdits et bloqués ?
  • Les serveurs sont-ils sécurisés, corrigés en cas de problème ?
  • Les fichiers de journalisation sont-ils consultés régulièrement ?
  • Des outils détectent-ils une trace suspecte sur les serveurs ?

La sécurité d’un système repose sur 5 grands principes :

  • L’intégrité des données ;
  • La confidentialité ;
  • La disponibilité ;
  • La non-répudiation des données ;
  • L’authentification.

Si tout un système est sécurisé techniquement mais que le facteur humain, souvent mis en cause, est défaillant, c’est toute la sécurité du système qui est remise en cause.

Le spécialiste va faire le tour du réseau et des différents équipements pour en déceler les éventuels problèmes. Rappelons que dans la réalité, la majorité des intrusions système ont lieu le week-end. Il veillera ainsi à ce que les données ne soient accessibles que par les personnes accréditées, qu’elles soient en sécurité et disponibles à n’importe quel moment. Si le spécialiste décèle un problème dans le système, il se doit d’en avertir le responsable, de proposer une solution pour y pallier, et d’offrir un accompagnement dans la mise en place d’une procédure de sécurité.

Il doit tester l’équipe, pour vérifier que celle-ci ne distribue pas des informations confidentielles, même sans le savoir : coups de téléphone du copain ; le nouveau qui s’est fait supprimer ces droits sans en être averti… En effet, l’accumulation de grains de sable sur un organisme peut vite devenir une jolie niche d’informations qui, une fois recoupées, suffiront à l’attaque du réseau.

Parmi ces hackers, il y a les crackers, qui ont une nette attirance pour ce côté obscur. Ils sont par exemple à l’origine de virus, de chevaux de Troie ou de logiciels espions. Le spécialiste ne doit jamais les oublier en auditant les antivirus, les firewalls…

Les méthodes :

  • La méthode la plus réaliste, car c’est celle qui correspond à une situation réelle, est un test en black box, un test en boîte noire. Dans ce cas, le spécialiste qui vient auditer le système n’a aucune information. Il va agir comme le ferait un attaquant, en testant tour à tour les différentes portes à la recherche d’une vulnérabilité à exploiter.

Ces tests « à l’aveugle » ont pour principaux avantages d’être réalistes, moins onéreux, et plus rapides. Cependant ils sont également moins exhaustifs, et ne testent pas la qualité de la configuration du système (les services sont-ils optimisés ? À jour ? Limités ?). En effet, un système peut être non optimisé sans être vulnérable à un instant T ; cependant une mauvaise configuration peut conduire à des problèmes postérieurs.

Le test en boîte noire peut être exécuté depuis l’extérieur ou depuis l’intérieur, c’est-à-dire dans les locaux.

  • Lors d’un audit en grey box, le consultant ne possède qu’une quantité limitée d’informations. Cela va ouvrir d’autres portes sans pour autant donner toutes les informations. Il permettra d’aller un peu plus loin dans le test, de parcourir d’autres domaines… En grey box, on peut lui fournir ce couple d’identifiants, voire lui donner l’identifiant de l’administrateur, afin qu’il puisse aller encore plus loin.
  • Le test en white box (en boîte blanche) sera le plus long, le plus approfondi, mais également le plus onéreux. En effet, ici l’accès au système sera complètement ouvert au spécialiste venu faire l’audit. De ce fait, il est de son devoir de tester chaque service, de vérifier sa configuration, ses vulnérabilités éventuelles, et de faire un tour complet pour en assurer l’étanchéité.

Le but ici est donc d’évaluer les risques potentiels en toute connaissance du système, et également de vérifier que le système sera apte à redémarrer sans perte d’informations si une attaque a tout de même lieu, en vérifiant par exemple le système de sauvegarde de données.

Dans le cadre d’un site Internet, il aura accès au code source et devra vérifier que celui-ci ne présente pas de risques pour le système.

Où trouver les spécialistes ?

Souvent les spécialistes sont des consultants IT indépendants avec une expérience sur l’ensemble des domaines de l’infrastructure informatique : système, sécurité, réseaux, stockage…..

Ils sont présidents de leur société et sont souvent en mission. C’est à vous de les trouver au bon moment, lorsqu’ils sont en inter-contrats. En général, ils y restent très peu de temps. Ce sont des personnalités du monde des consultants IT indépendants.

Source : François FLEURY(sih)

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.