Des menaces la guettent, des attaques se déclenchent, venant de l’Internet, mais aussi de vos réseaux internes, pour la voler, la détourner, porter atteinte à son intégrité ou simplement pour la lire si elle est confidentielle. La question n’est pas de savoir si votre information va être attaquée, elle le sera, mais bien de savoir comment les contre-mesures, que vous avez mises en place pour la protéger, se comporteront avant pendant et après ces attaques. Aujourd’hui, l’espérance de vie d’un système d’information, sans protection suffisante, accessible par un réseau public, est évaluée à quelques minutes à peine avant que les informations ne soit compromises dans leur existence ou leur intégrité.

Vous doutez encore de l’ampleur du danger ? Installez un firewall personnel correctement configuré sur votre poste de travail connecté à l’Internet et mesurez le temps avant que ne se produise une scrutation des ports de votre PC par des accès extérieurs qui cherchent les vulnérabilités de votre configuration et vous en serez convaincu ! Vous avez un firewall personnel et vous n’avez jamais constaté d’attaques ? Votre firewall n’est sans doute pas correctement configuré ou la base de signatures de votre antivirus n’est pas à jour. Et ne déduisez pas que vous êtes personnellement visé. La pêche aux postes de travail vulnérables se fait parfois de manière aléatoire sur des plages d’adresses de l’Internet, parfois elle est systématique sur toutes les adresses visibles. Les vulnérabilités trouvées feront, dans un deuxième temps, l’objet d’attaques adaptées et parfois dévastatrices. Alors que dire si votre PC n’est pas correctement protégé ? Vous ne serez même pas au courant qu’il est sous le contrôle à distance d’un hacker qui épie vos frappes claviers, vos transactions sur la toile, ce que vos affichez à l’écran. Ce qui peut vous arriver de mieux est finalement que l’attaque, si elle réussit, détruise votre système d’information mais les attaques ont évolué et le but recherché n’est plus de détruire vos informations et vos serveurs mais de les utiliser à vos dépends.

Des menaces et des cibles qui évoluent

Les motivations des attaquants, et donc leurs cibles, évoluent rapidement. Il n’y a pas si longtemps, mais c’est déjà la préhistoire de la cyber criminalité, l’attaquant voulait prouver à quel point il était compétent et asseoir sa notoriété sur les dégâts qu’il causait autour de lui. En choisissant un réseau bien protégé et si possible dont les conséquences de l’agression ne laissaient pas la presse indifférente, il prouvait également son courage, parfois son inconscience. Mais les attaques étaient déclenchées à partir de la toile, parfois à des milliers de kilomètres de chez vous, là où les lois du pays où réside le site attaqué ne s’appliquent pas et la plupart du temps sous de fausses identités. Comment alors ces cybercriminels pourraient-ils être inquiétés ?

C’était l’époque de l’éclosion des premiers virus qui gagnèrent rapidement en vitesse de propagation et en complexité, se jouant des antivirus en changeant de signature et en se tapissant au plus profond de vos fichiers. C’était aussi celle de l’ingénierie sociale qui vous encourageait, pendant la lecture de votre messagerie, à cliquer sur une pièce jointe exécutable pour activer le virus qui bien entendu ne vous voulez pas du bien et le propager à vos listes de distribution de messagerie, et alors vos correspondants ne vous voulaient plus du bien. Ensuite vinrent les vers, plus subtils, plus sournois car ils s’insinuaient en silence dans votre système d’information sans action nécessaire de votre part si ce n’est d’avoir connecté votre PC au réseau public et parfois même privé. Le but de ces menaces devenues désuètes aujourd’hui était de détruire vos informations et se propager pour perpétuer plus loin les méfaits programmés.

Ces menaces sont encore très présentes mais la finalité des attaques a pris un nouvel essor et une nouvelle vigueur. Les cybercriminels aujourd’hui ne s’intéressent plus tellement à votre système d’information mais à votre porte-monnaie ou plutôt ce qu’il contient, et surtout à la trésorerie de votre entreprise. Là où il y a de l’argent, il y a les pirates. Là où les sommes sont considérables, ils y mettent les moyens. Et ces moyens sont sophistiqués et souvent le fait de mafias pour qui ce n’est pas la beauté du concept qui motive les attaques mais parce qu’il est à priori plus rentable, et moins dangereux, d’attaquer les systèmes d’information d’une banque par exemple que de braquer une de ses succursales. Voici venu l’époque des attaques feutrées, sans bruit, sans publicité et exécutées par des pirates hautement compétents. Pour des attaques à très grande échelle ils utilisent des hommes de mains, population anonyme et mouvante qui disparaît pour réapparaître ailleurs, pour lancer d’autres attaques.

Cheval de Troie, phishing et pharming

Pour bien appréhender les nouvelles tendances des attaques, analysons comment procède le virus bugbear qui préfigure bien leur nouvelle cible et leur nouveau but. Le virus bugbear ne porte pas de charge létale mais se cache dans votre poste de travail après avoir installé un cheval de Troie qui est un logiciel qui va écouter les frappes sur votre clavier. Tant que vous n’utilisez pas votre poste de travail pour dialoguer avec votre banque, bugbear sommeille mais dès que vous tapez le nom de votre banque, et bugbear a dans sa base les noms de plusieurs centaines d’établissements financiers, il se réveille et vous écoute, car vous présentez alors de l’intérêt pour lui. Il enregistre vos transactions et les achemine vers son auteur indélicat par le réseau. Vous pouvez vous entourer de dispositifs de sécurité, vous pouvez chiffrer vos transactions, elles n’échapperont pas à ce « keylogger » (Programme espion qui enregistre les touches que vous appuyez sur votre clavier) qui prend l’information que vous entrez à sa source, c’est à dire directement sur les touches que vous pressez sur votre clavier. Vous comprendrez aisément que mots de passe et codes clients n’ont plus de secret pour le hacker à l’écoute.

Mais ce virus, pour agir, doit être au préalable avoir contaminé votre poste de travail. Il y a plus efficace ! Le phishing ou hameçonnage. Cette technique repose sur trois impostures. La première imposture est l’appât. Vous recevez un courriel qui semble venir par exemple de votre banque. Les fonts, les couleurs, les logos, le style du message sont ceux de votre banque, rien ne manque, à part que ... ce message ne vient pas de votre banque. La deuxième imposture est l’hameçon. Le courriel vous avertit que votre banque est désolée mais suite à un problème informatique, des données ont été corrompues alors pour ne pas perdre les facilités qu’elle vous offre en ligne, vous devez cliquer sur un hyperlien pour ouvrir une page Web et ressaisir les données perdues de votre compte, afin que le problème soit réglé au plus vite. Vous remplissez les formulaires et les hackers sont satisfaits car bien entendu le site où vous étiez n’était pas le site de votre banque mais celui du hacker à qui vous avez donné donc les informations confidentielles sur votre compte. La troisième imposture est l’utilisation de votre identité pour vider votre compte. Cette attaque devient de plus en plus fréquente et peut détruire la confiance que l’utilisateur doit éprouver face au Web avant qu’il n’accepte de faire des transactions en ligne. Comme pour le commerce traditionnel, le commerce électronique repose sur la confiance entre l’acheteur et le vendeur, aussi les bases mêmes du commerce électronique sont ébranlées.

Mais cette attaque pour réussir requiert que d’une part vous n’ayez pas détruit le premier courriel de phishing sans le lire, d’autre part que vous ayez cliqué sur l’hyperlien proposé, et enfin que vous ayez entré les renseignements demandés par la page Web du hacker. Il y a plus efficace ! le pharming. Cette attaque, très technique, repose sur une vulnérabilité qui affecte certains serveurs de noms. Dans le monde IP, l’être humain préfère converser en adresses sous forme de texte telles que ma-banque.com alors que les machines comprennent les adresses binaires comme 192.1.1.3. Pour satisfaire les utilisateurs et les machines, les serveurs de noms convertissent les adresses textes en adresses binaires et inversement. Des tables de correspondances sont créées dynamiquement et restent, un certain temps, en mémoire des serveurs. Alors que croyez-vous qu’il arrive si on parvient à corrompre ces tables pour qu’à ma-banque.com corresponde une adresse binaire qui n’est plus celle de la banque mais bien celle d’un hacker ? Gagné, quand vous pensez aller sur le Web de votre banque, vous vous retrouvez sur le Web du hacker qui aura bien sûr imité celui de votre banque et c’est à lui que sont routées vos transactions. Imparable pour vous et fructueux pour le hacker !

Botnets et soit extorsions de fonds, soit dénis de services

Après le cyber-vol à la tire, examinons maintenant des cyber-attaques plus brutales et qui n’ont pas pour but de vous extorquer des fonds à votre insu mais carrément avec votre consentement ... forcé en utilisant le chantage, les botnets. De la contraction des mots robot et network, les botnets sont des attaques sophistiquées et concertées qui déclenchent des ondes de choc dont il est difficile, si on en est la cible, de se relever. Supposez que des milliers de postes de travail contaminés par un virus, un ver ou autre malware deviennent des postes zombies qui se mettent spontanément, à l’insu de leur propriétaire, sous le contrôle d’un serveur maître, quelque part sur la toile et attendent ses ordres. Supposons maintenant que ce serveur soit contrôlé par un hacker qui n’a qu’une commande à lancer pour que tous les PC zombies à l’écoute déclenchent des attaques vers une cible unique. Et supposons enfin que le hacker propose ses services à des êtres malfaisants qui lui commandent de déclencher des attaques de telle ampleur, sur telle cible, peut-être sur le serveur Web institutionnel de votre entreprise. Nous avons brossé le tableau d’un botnet.

L’attaquant loue un temps d’utilisation d’un botnet pour lancer une attaque sur une cible pour qui la disponibilité du réseau est impérative pour mener les affaires en ligne, un site Web de jeux ou d’enchères par exemple. Bien sûr le prix de location dépend de la cible visée et du temps d’utilisation. A l’heure dite, le serveur commande aux postes de travail répartis dans le monde, et à l’insu de leurs propriétaires, d’envoyer chacun 10 000 demandes d’accès sur la cible. Des milliers de PC lançant chacun 10 000 transactions sur la cible ... il serait étonnant que celle ci parvienne à poursuivre ses affaires dans le cyber-espace, durant cette tornade. Ensuite on passe à la phase de chantage. L’individu malfaisant averti le propriétaire de la cible qu’il recommencera et cette fois beaucoup plus violemment et longtemps à moins qu’une somme d’argent conséquente et en petites coupures, dont les numéros ne se suivent pas, lui soit versée. Le monde réel des mafieux rejoint le cyber-espace des hackers. La cyber-criminalité se professionnalise !

A ne pas négliger, la petite attaque qui consiste à chiffrer des fichiers d’un poste de travail cible puis de proposer à son propriétaire la clé de déchiffrement de ses fichiers moyennant finance. Mais dans quel monde vivons-nous ? !!! Il est préférable d’en être conscient.

Les contre-mesures

Après avoir examiné le côté de la force obscure, examinons les contre-mesures à mettre en place pour atténuer les effets des agressions.

Il y a d’abord l’arsenal juridique. En matière de cyberciminalité le droit commun s’applique, la législation s’adapte, la jurisprudence se constitue et les contrevenants peuvent être poursuivis. Le droit des nouvelles technologies de l’information et de la communication appliqué aux STAD (Systèmes de traitement automatique des données), établit les règles et fixe des sanctions. Ces délits peuvent être constitués par des accès frauduleux, par le maintien d’une présence illicite dans un système d’information, par l’entrave au bon fonctionnement du système ou encore par l’altération de ses données. A ce sujet, les lois Godfrain (articles 323-1 à 323-3 du code pénal), dont les peines prévues sont augmentées par la loi sur l’économie numérique (LEN), sont dans leur texte très dissuasives. Vous avez été attaqué et vous avez subit un préjudice, par exemple les fichiers contenant les informations nominatives à caractère personnel de vos clients sont partis dans la nature. Vous portez plainte auprès du BEFTI (Brigade d’enquête sur les fraudes aux technologies de l’information, préfecture de police de Paris) ou de l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), organismes officiels spécialisés dans la répression de la fraude informatique. Mais avant, mieux vaut vous assurer que vous n’allez pas vous placer dans la position de l’arroseur arrosé. Aviez vous déclaré à la CNIL (Commission nationale de l’informatique et des libertés) ainsi que la loi l’exige que vous aviez constitué des fichiers nominatifs ? L’article 226-16, alinéa 1 du code pénal est très clair à ce sujet. Si vous n’avez pas déclaré l’utilisation par des traitements automatisés du fichier des données personnelles de vos clients, vous pouvez être déclaré pénalement coupable et condamné à une peine allant jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende. Résoudre les problèmes juridiques posés par la cybercriminalité ne peut être entrepris que par des juristes, experts de ce domaine.

Les solutions de sécurité logiques et physiques forment un autre domaine où les experts sont indispensables. Ces solutions ne sont pas des fins en soi mais des moyens qui vous permettent de mettre en oeuvre votre politique de sécurité après bien sûr qu’elle ait été écrite et conforme aux lois en vigueur et que les employés en aient été informés et si possible y aient adhéré.

Le premier élément de la chaîne est la sécurité périmétrique. Un dispositif placé en coupure entre le réseau interne à protéger et l’extérieur filtre tous les paquets IP qui le traverse dans un sens et dans l’autre et ne laisse passer que les paquets autorisés par la politique de sécurité, en consignant les transactions jugées non conformes. Dans cet élément on peut placer un coupe-feu mais aussi un antivirus, un antispam, un antispyware, une sonde de prévention d’intrusion (IPS) et un dispositif de contrôle des accès Web. Nous avons alors affaire à un UTM (Unified Threat Management, Firewall “tout en un”).

Le deuxième élément est la sécurisation des postes de travail mobiles et la confidentialité des informations surtout si elles cheminent sur un réseau public. Les réseaux privés virtuels (RPV ou VPN (Virtual Private Network)) assurent en chiffrant les messages, leur confidentialité et leur intégrité ainsi que l’authenticité des deux bouts du tunnel chiffrant constitué. Le choix des tunnels chiffrant se fait souvent sur deux protocoles l’IPSec et le SSL. Il y a là un large débat. Pour résumer ces solutions sont complémentaires. L’IPSec est conseillé pour les échanges entre deux réseaux privés alors que le SSL est idéal pour les échanges chiffrés entre un poste de travail non géré par l’entreprise et son réseau privé. Il ne faut pas négliger la sécurisation du poste de travail, surtout s’il est nomade, par un pare-feu personnel, un anti virus et un dispositif de chiffrement sur disque des fichiers confidentiels.

Le troisième élément est de permettre à vos utilisateurs, surtout aux utilisateurs nomades, de s’authentifier de manière forte en combinant par exemple quelque chose qu’ils sont les seuls à posséder, comme une carte à puce, avec quelque chose qu’ils sont les seuls à connaître comme un code confidentiel. La biométrie, combinée à ce qu’on possède ou à ce qu’on connaît, offre également un élément d’authentification possible.

La sécurité forme une chaîne dont la solidité est celle de son maillon le plus faible et c’est souvent l’utilisateur. Inutile de placer une porte blindée si toutes les fenêtres sont ouvertes. Inutile de chiffrer les fichiers si on jette les copies papier dans les poubelles, inutile d’imposer une authentification forte à des utilisateurs non motivés par la sécurité. C’est là une question de discipline et on voit bien que la sécurité est avant tout un problème humain.

Une dernière question se pose : comment pouvez-vous faire confiance en une solution de sécurité qui est après tout constituée de logiciels et de matériels donc susceptibles de comporter des vulnérabilités ? Une des réponses est la certification de la solution par un organisme reconnu, si possible sur le plan international. Les Critères Communs offrent des niveaux reconnus de certification sur une cible établie par le constructeur par rapport à des profils élaborés par les organismes de certification tel en France, la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information, organisme officiel interministériel).