Penser comme un hacker permet une bonne gouvernance des données

Que pouvez-vous apprendre en lisant les exploits du groupe de pirates le plus brillant jamais traduit en justice ?

Récemment, le bureau du procureur américain du New Jersey a rendu public son acte d’accusation contre une bande de cybercriminels presque tous russes (et un co-conspirateur américain). Cette bande est accusée d’avoir capté plus de 160 millions de numéros de cartes de crédit et causé plus de 300 millions de dollars de pertes sur une période de sept ans. En parcourant l’acte d’accusation, j’ai eu la forte impression que ce groupe avait un modèle économique solide comme le roc, excellait dans l’exécution de ses plans et savait vraiment respecter les principes de la sécurité informatique, bien mieux que ses victimes.
Selon l’enquête du gouvernement, fondée en grande partie sur des sessions de conversation instantanée entre les principaux pirates, les numéros de cartes de crédit volés étaient vendus par le biais de réseaux de vente en gros : les numéros américains valaient 10 $, les numéros canadiens 15 $ et les numéros européens 50 $. La bande de pirates, que le gouvernement a plus précisément caractérisée comme une organisation, offrait des remises de gros et des calendriers de paiement.
Le réseau de distribution revendait ensuite les données volées aux utilisateurs finaux à travers ses canaux.
Par ailleurs, cette organisation de pirates n’acceptait aucun paiement par carte de crédit pour ses services, mais seulement des virements bancaires et des transferts par Western Union. Bonne initiative de sa part, car voyez-vous, les numéros de cartes de crédit peuvent être volés. 

Leur art du piratage était un peu plus évolué que celui du cybervoleur moyen

Ils comptaient beaucoup sur des attaques par injection SQL pour pénétrer dans les sites Web, plutôt que sur la découverte de mots de passe par force brute. Dans quelques cas, les pirates choisissaient les revendeurs en fonction du type de point de vente ou d’équipement PDV, car ils pouvaient installer des logiciels renifleurs spécialement configurés pour aspirer les numéros de carte non cryptés. Et ici encore, ces revendeurs d’aliments et de vêtements étaient pour la plupart respectueux des normes de paiement par carte de crédit.
Après l’effraction, les pirates avaient un problème plus complexe : trouver les numéros de cartes de crédit et autres données d’identification personnelle. Dans la terminologie des pirates, c’est ce qu’on appelle la post-exploitation.
Pour mieux comprendre la méthodologie de la post-exploitation, vous devrez passer du côté obscur, ou du moins gris. J’ai donc décidé de parcourir les archives de Defcon, « la plus grande et plus longue convention underground du monde ».
J’ai trouvé une bonne présentation sur ce sujet, écrite par deux testeurs d’intrusion (ou pen testers).
Ils font remarquer que le travail du hacker est de « se cacher en pleine vue », et en caractères gras et rouges sur une de leurs diapositives figure le commandement « tu ne seras pas une anomalie ». Une autre diapositive souligne que l’obtention de l’accès root n’est pas nécessairement un objectif souhaitable pour un hacker parce que c’est aussi un accès de niveau utilisateur très probablement vérifié.
Il s’agit généralement de conseils fiables, mais bien sûr, les pirates ne peuvent pas connaître le comportement des utilisateurs à long terme.
Quoi qu’il en soit, les deux testeurs d’intrusion suggèrent d’entrer en tant qu’utilisateur ordinaire et de détourner des informations d’identification et des sessions de manière sélective. Alors, quel utilisateur un pirate doit-il choisir ? Leur conseil général est de « connaître l’environnement cible », puis de découvrir « qui a accès à quoi » et de savoir « où se trouvent les données ».
De toute évidence, il s’agit d’une sagesse de base de la gouvernance des données informatiques que chaque administrateur système devrait appliquer dans son travail quotidien. C’est peut-être un peu contre-intuitif de devoir remercier des testeurs d’intrusion de plaider en faveur de la gouvernance dans une présentation sur les techniques de post-exploitation. Mais dans le monde sens dessus dessous du piratage, les cybervoleurs perçoivent mieux la valeur des données et appliquent les bonnes pratiques de l’informatique avec plus de rigueur que les entreprises ciblées. 
J’ai (et vous devriez aussi avoir) une tolérance très limitée vis-à-vis de ceux qui lésinent sur la gouvernance des données dans le cadre d’un programme d’atténuation des risques de sécurité.
En fin de compte, vous devez mieux connaître vos données qu’un cybergang de malfaiteurs.