Dans l'univers des menaces IT internes : moyens et opportunités

Après avoir abordé les motifs psychologiques relativement complexes des pirates internes, il est intéressant de se pencher sur les moyens et opportunités qui permettent à ces derniers de passer à l'acte.

Après être passés du côté obscur, les pirates internes ont un avantage important sur ceux de l’extérieur : ils se trouvent dans une position privilégiée par défaut. Ils disposent d’un accès autorisé aux fichiers, aux applications, au code source et aux données sensibles. S’ils ne se font pas remarquer, il est difficile de les arrêter (mais non impossible, comme nous le verrons).

Revenons à notre comparaison entre crime et mystère. Le délit informatique est l’équivalent numérique du « majordome est coupable » et il n’y a pas plus interne qu’un employé de confiance.

La bombe logique redoutée
Pour les pirates internes, bien sûr, il n’est pas très difficile de saisir la bonne occasion : ils ont déjà franchi les barrières de sécurité et se trouvent dans la place. Le problème pour eux est maintenant celui de la planification et du minutage.

Débarrassons-nous d’abord des mauvaises nouvelles. Parmi les techniciens ayant commis un sabotage informatique, un petit groupe (environ 30%) disposait d’un accès approprié aux fichiers et aux logiciels concernés. Les 70% restants avaient obtenu un accès non autorisé en captant les données d’un autre compte utilisateur.

Une supervision systématique permettrait bien mieux de repérer et de prévenir les attaques internes de ce second groupe. En effet, avec un logiciel d’analyse de fichiers adéquat, vous disposez déjà d’une activité de base des utilisateurs, ce qui vous permet d’identifier les accès anormaux quand un pirate interne a pris le contrôle d’un compte.

Il existe probablement des signes précurseurs dans les deux situations : comportementaux et techniques. Ainsi, si vous voulez vraiment empêcher tout sabotage informatique ou vol de données interne, vous devrez rester à l’affût des incidents sur le lieu de travail et mettre en place une surveillance initiale en particulier après une rétrogradation, un bonus ou une augmentation de salaire moindre que prévu, et bien sûr, pendant une procédure de licenciement.

Dans chaque cas, une fois que les pirates de l’intérieur ont accès au code ou aux données sensibles, les moyens du sabotage deviennent clairement visibles. Ils n’ont même pas besoin d’introduire un quelconque logiciel malveillant !

Les pirates internes techniciens placent généralement des bombes logiques supprimant des fichiers ou ajoutant dans le code des portes dérobées susceptibles d’être exploitées plus tard. Et évidemment, les pirates internes se trouvent dans une position idéale pour voler tout simplement les données.

Quelques dossiers réels
Pour avoir une idée de ce que font les pirates internes, j’ai jeté un coup d’œil aux dossiers du CERT de la CMU.

Un employé (appelons-le « Bob ») travaille en tant que programmeur sous contrat dans une société hypothécaire. Après avoir appris que celle-ci ne renouvellera pas son contrat, Bob développe un script permettant de désactiver la supervision des alertes et des connexions puis de supprimer les mots de passe sur l’ensemble du serveur de l’entreprise.

Notre pirate interne conçoit ce script de manière à ce que celui-ci reste inactif pendant trois mois et salue les administrateurs au moyen d’un e-mail sinistre. Il n’en faut pas plus, Docteur Maléfique !

Heureusement, après le départ de Bob, un de ses collègues détecte le code malveillant et le supprime.

Bien que je ne dispose pas des chiffres exacts du CERT, il semble que la suppression massive de données constitue une forme fréquente de sabotage informatique. Rien de très subtil à ce niveau : la philosophie du pirate interne se résume à « je vous entraîne dans ma chute ».

Pensez à la sauvegarde !
Je rédigerai un dernier article pour fournir mes recommandations en matière de prévention et d’atténuation des menaces internes. Entre-temps, une manière très évidente de réduire les problèmes dus aux fauteurs de troubles internes consiste à mettre en place un programme efficace de sauvegarde et d’archivage des données. 

Vous n’avez pas forcément besoin de sauvegardes fréquentes pour toutes les parties du système de fichiers. Mais dans les zones sujettes à des mises à jour régulières (stockages de logiciels, courriers électroniques, certains fichiers de configuration), les sauvegardes quotidiennes sont justifiées et pratiques.

L’autre problème, maintenant mis en évidence par l’incident Sony, est le risque associé à la conservation de tous les actifs dans un format numérique facilement accessible. Ou, comme le dit Bruce Schneier, la sécurité de la suppression des données.

Le compromis consiste à archiver sur un stockage hors ligne les fichiers de données qui ne sont pas réellement essentiels aux opérations quotidiennes de l’entreprise. Cela demande bien sûr une analyse plus approfondie du système de fichiers pour identifier les informations véritablement critiques et celles qui sont rarement ou jamais utilisées. 

Si c’est bien effectué, une entreprise peut réduire sa surface de risque : un pirate interne ne peut pas voler ou perturber ce qui ne se trouve pas là !