Quelles
sont les types d'attaques que vous envisagez ?
Elles sont au nombre de 8. Je commencerais
par celles qui demandent le moins de temps, ce sont
celles que je préfére personnellement
mettre en oeuvre lorsque je teste une compagnie
! (rires). L'analyse des fichiers de données
révèle souvent de précieux
renseignements. Par exemple les fichiers logs, qui
servent à garder des traces de l'activité
du réseau, contiennent des informations utiles
pour le hacker. SafeGarde réplique à
cette attaque en encryptant tous les fichiers logs.
La seconde technique consiste à sniffer (écouter
les ports sur le réseau) pour intercepter
des données utiles comme des mots de passe.
Là encore la réplique consiste à
encrypter toutes les communications client/serveur.
En troisième point, on trouve une technique
que nous appelons aux Etat-Unis "Man in the
Middle": se placer entre deux clients pour
intercepter, donc lire, modifier, effacer, les données
qu'ils se transmettent. Il faut alors procéder
à un encryptage suivi d'une authentification
des échanges.
La 4ème technique est la plus répandue
depuis l'émergence d'Internet: utiliser des
dictionnaires, des outils pour chercher à
trouver des mots de passes. On tente de se faire
identifier en essayant des milliers de mots de passe
jusqu'à trouver le bon.
Comment
empêcher ce type d'attaque ?
On
ne peut pas véritablement empêcher
ce genre d'attaques mais on peut diminuer les chances
de réussite. SafeGarde ne permet qu'un délai
réduit pour s'identifier couplé à
un nombre d'essais très limité. Passé
ce délai ou le nombre de tentatives autorisées,
il met fin à la connection et l'administrateur
doit intervenir pour rétablir les droits
d'accès de l'utilisateur. A moins d'une chance
inouïe, il est impossible de trouver en deux
ou trois essais le mot de passe. C'est mathématiquement
possible mais fort improbable.
Quelles
sont les quatre autres techniques de hacking ?
Avec la 5ème technique et les suivantes,
on rentre dans le cadre d'attaques qui mettent beaucoup
plus longtemps à être mises en oeuvre
et qui sont plus sophistiquées. Pour cette
attaque, il faut avoir accès au serveur.
Il faut pouvoir atteindre le contenu de la mémoire,
pour voir ce qui s'y passe, y chercher des mots
de passe temporairement présents en mémoire,
etc. SafeGarde remplace le contenu de la mémoire
juste après qu'une information est été
traitée. La mémoire contient les données
trop peu de temps pour qu'un hacker puisse arriver
à les extraire.
La décompilation du code est la seule attaque
face à laquelle SafeGarde n'est pas mieux
préparé qu'une autre solution. Il
s'agit donc d'empêcher que les codes sources
soient accessibles, celà dépend de
la sécurité générale
du réseau, et rendre ces codes les plus opaques
possibles, les plus difficiles à comprendre
et interpréter.
Justement;
où en est la crypto analyse ?
La crypto analyse (ndlr: science du déchiffrement)
rentre dans le domaine de la recherche et du développement,
ce n'est pas tellement utilisé par les hackers,
il faut avoir un haut niveau scientifique. Il faut
comme la dernière technique, l'utilisation
d'un cracker (outil hardware de déchiffrement)
DES, s'assurer d'utiliser des techniques éprouvées.
Je préconise le triple DES.
Quoiqu'il
en soit, SafeGarde, aussi performant qu'il puisse
être n'est qu'un élément du
puzzle qui compose la sécurité. L'entreprise
doit adopter une réelle politique de sécurité
et la suivre! Celà concerne les mots de passe,
les clés de codage, la formation du personnel,
etc.
Les
tests d'intrusion prennent une place importante dans cette
politique de sécurité ?
Bien sûr, tous les trimestres
il faut éprouver la résistance du réseau.
En
France, peu d'entreprises ont recours à ce
genre de tests, par défiance ou par optimisme.
La situation est-elle la même aux Etats-Unis
?
Non,
dans la Silicon Valley, c'est une pratique très
courante. Les médias, les cabinets de consulting,
ont suffisamment alerté les entreprises sur
les dangers de se voiler la face sur les problèmes
de sécurité, sur l'importance des
tests et d'une veille régulière des
trous de sécurité des réseaux,
des sytèmes d'exploitation. La prise de conscience
aux Etats-Unis s'est produite plus tôt qu'en
France. La une du San Jose Mercury News est très
souvent consacrée à un problème
de sécurité, plus qu'à l'actualité
politique !
Comment pensez vous
que vont évoluer les pratiques de hacking
et les défenses ?
Je pense que les outils d'automatisation d'attaques
de hacking vont être de plus en plus utilisés.
Ils sont de plus en plus nombreux et de plus en
plus intelligents, sophistiqués.
Quels
conseils donner aux entreprises ?
Rester à la page. L'utilisation
des solutions de défense les plus sophistiquées
ne vaut en réponse que s'ils sont mis à
jour. On se rapproche de la même problématique
que les logiciels anti-virus. Un tel logiciel n'est
efficace que s'il est régulièrement
mis à jour pour pouvoir reconnaitre les virus
les plus récents. Idem pour la sécurité,
l'administrateur chargé du réseau
doit se tenir parfaitement informé des failles
de sécurité découvertes, des
corrections à appliquer. Sans cette vigilance,
la défense du réseau est compromise.
Pour
finir, une question plus anecdotique: que pensez vous
de l'affaire Kevin Mtinick ?
C'est une affaire lamentable. Qu'il
ait commis des actes répréhensibles
certes, mais il ne mérite pas le traitement
qui lui est infligé. C'est une négation
de ses droits constitutionnels. Côté
technique, c'est un bon hacker, il est surtout très
fort en social engineering.
Toutes nos interviews