Dans l’univers des menaces internes

La récente attaque dont a été victime Sony ouvre la porte à une discussion publique sur le sujet des collaborateurs malveillants que de nombreuses entreprises sont encore réticentes à aborder.

Comme l’a dit quelqu’un dans un autre contexte : « ne gaspillez jamais une bonne crise ». Bien que nous n’en ayons pas encore la preuve définitive, il est déjà clair que certains employés ont été en quelque sorte impliqués dans la débâcle de Sony (voyez Did North Korea Really Attack Sony? de Schneier). 

Pour l’instant, mettons Sony dans la catégorie des indécis en attendant de disposer de plus d’informations et penchons-nous sur les leçons tirées de cas de menaces internes avérées.

Excellente idée, mais où trouver ces dossiers ?

Heureusement, le Carnegie Mellon’s Computer Emergency Response Team (CERT, équipe d’intervention informatique d’urgence de la Carnegie Mellon University) a collecté auprès des Services Secrets américains, et pendant sa propre pratique, des informations sur les vols de données commis par des employés. Depuis plusieurs années, le CERT a constitué une importante base de données de 700 incidents bien documentés qu’il a analysé dans le cadre de ses recherches. Une conclusion qu’il convient de souligner et d’indiquer que les motivations sous-jacentes des attaquants internes et externes s’avèrent différentes. Il est important de se rappeler que les mêmes contrôles informatiques qui arrêtent les pirates de l’intérieur bloquent aussi ceux de l’extérieur !

Motivations

Étant donné que le CERT de la CMU est une organisation de recherches, il produit ses propres théories unifiées sur les délits informatiques commis par les employés. Vous pouvez découvrir celles-ci plus en détails dans ses études plus approfondies, si vous le souhaitez. Toutefois, comme dans tout mystère, ou toute série criminelle télévisée, la culpabilité est toujours établie en fonction des moyens, des motifs et de l’opportunité.

Il est particulièrement intéressant d’étudier les motivations en matière de vol de données interne : pour quelles raisons des collaborateurs de confiance se livrent-ils à des activités répréhensibles ?

Les chercheurs du CERT ont examiné la question. Parmi les 700 cas dont ils disposent, ils ont analysé un sous-ensemble d’affaires portées devant les tribunaux et ils sont parvenus à isoler quatre catégories de motivations (voir le graphique) : vol pour gain financier, pour avantage concurrentiel (vol de propriété intellectuelle), sabotage informatique, et une catégorie « divers » regroupant des raisons plus obscures.

Bien qu’il représente moins de la moitié des cas, le vol pour gain financier reste le motif le plus évident. L’équipe du CERT a découvert que ce type de fraude est plus probablement le résultat d’employés non techniciens de niveau inférieur, généralement en collaboration avec des pirates de l’extérieur.

Ces employés, généralement sujets à des problèmes financiers, utiliseraient leur niveau d’autorisation d’opérateur de saisie des données ou d’agent du service clientèle pour modifier des historiques de crédit, ajuster des bénéfices ou créer de fausses informations d’identification contre une rémunération.

  

Selon le CERT, ces activités sont finalement découvertes en examinant les journaux d’activité, en particulier les journaux de modification du système et d’accès aux fichiers. Cependant, un délai souvent très long s’écoule entre le délit et sa détection.

Sabotage !

En gardant l’infraction de Sony à l’esprit, nous savons que le vol à motif non financier peut s’avérer tout aussi dévastateur que celui qui se produit sous le signe d’un symbole monétaire. Le point intéressant à propos du sabotage informatique est qu’il est commis en tant qu’acte de vengeance par le proverbial employé mécontent. 

Quelle est la source de ce mécontentement ? Les chercheurs du CERT indiquent que l’événement déclencheur peut être « un licenciement, un différent avec l’employeur, de nouveaux superviseurs, un transfert, une rétrogradation ou une insatisfaction liée à l’augmentation du salaire ou aux bonus ».

Il n’est pas surprenant que les actes de sabotage informatique soient perpétrés par des collaborateurs techniciens (pour la plupart de sexe masculin) qui ont réussi à s’emparer des informations d’identification d’une autre personne. En effet, ce sont ces informaticiens calés qui volent les mots de passe d’autres utilisateurs et jettent la clé à molette virtuelle dans la machinerie informatique. Cela peut comprendre l’écriture d’un script ou d’un programme pour supprimer de grandes quantités de données, ou même la mise en place d’une porte dérobée pour lancer une attaque beaucoup plus tard.

Les saboteurs sont finalement identifiés au moyen de l’examen des journaux d’accès à distance, d’accès aux fichiers, de bases de données, d’applications et de messagerie. Mais les chercheurs du CERT soulignent qu’étant donné leur sophistication plus grande que celle des voleurs de données à motif financier, ils savent dissimuler leurs traces en supprimant ou en modifiant les fichiers de journalisation eux-mêmes.

Motivation et environnement

Il existe d’autres aspects liés aux motivations que je n’ai pas la place d’aborder dans cet article. L’équipe du CERT a abouti à certaines idées provocatrices selon lesquelles les facteurs environnementaux (risque perçu d’être pris et culture de l’entreprise) ont une incidence sur la motivation. Il peut même exister des signes précurseurs qui permettent de détecter les voleurs de données en devenir. 

Nous entrons sur le territoire d’un « rapport majoritaire », mais certaines preuves suggèrent que les pirates internes sondent les défenses des entreprises longtemps avant l’attaque réelle.

Nous aborderons ce sujet et d’autres dans mon prochain article de cette série consacrée aux menaces internes.