JDNet
Solutions : Existe-t-il des systèmes de sécurité
inviolables ?
Bill Hancock :
Non. Pour pénétrer au sein d'un système, ce n'est
qu'une question de temps et d'argent.
Sur
le nombre total de sites web dits critiques, combien sont-ils insuffisamment
protégés selon vous ?
La majorité des sites ne sont pas assez protégés
contre les attaques les plus courantes. Pour avoir des chiffres précis,
il faut aller voir sur le site SecurityStats.com. Les statistiques doivent
être de l'ordre de 70 à 75 % de sites vulnérables
aux tentatives d'intrusion communes. En général, le problème
vient du fait qu'un firewall garde de certaines attaques mais ne suffit
pas à garantir une protection efficace. Il faut aussi, par exemple,
combler les failles des applications et mettre en place un système
d'identification par mot de passe. Des techniques différentes doivent
être déployées pour parer à différentes
catégories de risques.
Quelles
sont les principales composantes d'une infrastructure de sécurité
véritablement efficace ?
Ce sont toutes les technologies de sécurité qui apportent
une défense de base pour identifier et empêcher l'aboutissement
des attaques. Ce qui inclut les différents moyens possibles pour
détecter et contrer tous les types d'attaques dirigées vers
les capitaux d'informations clients.
Ensuite, il faut pouvoir assurer une surveillance des événements
liés à la sécurité. Et ceci implique que des
sondes soient mises en place, que la surveillance soit opérée
en 24x7, et qu'elle fasse intervenir des hommes pour regarder les logs
de sortie en quête de problèmes éventuels. De plus,
une boucle d'action doit pouvoir prendre la main lorsque le système
de surveillance détecte quelque chose de grave.
Des locaux et du personnel consacrés à la riposte technique
(incident response) doivent aussi pouvoir intervenir en cas d'urgence.
Les
extranets et les sites reliés à des applications back-office
constituent-ils une porte ouverte vers les réseaux internes ?
Pas vraiment. Le risque vient plutôt de l'intranet. 90 % des
pertes sont dues à des personnes qui ont accès au réseau
interne. Il y a peut-être beaucoup plus d'attaques sur des sites
Internet et extranet, mais la plupart du temps les hackers ne pénètrent
pas sur le réseau interne. La plus grande menace vient donc toujours
de l'intérieur.
Hormis
le vol de mots de passe qui impose l'installation d'un système
de signature unique (SSO), quels sont les principaux risques ?
Le plus grand risque vient incontestablement des systèmes auxquels
les correctifs disponibles n'ont pas été appliqués.
Il y a même parfois une possibilité d'être tué
dans l'exercice de sa fonction, si un autre employé à décidé
d'exploiter une faille et de faire exploser la souris à distance
par exemple. C'est donc l'une des plus grandes menaces aujourd'hui. Si
vous n'appliquez pas les correctifs de façon significative, ne
venez pas vous plaindre. Et c'est la même chose à l'intérieur
d'un appartement : si vous ne rangez rien, vous ne pouvez plus rien retrouver.
Vous n'avez donc pas le choix.
Que
pensez-vous de la politique d'éditeurs comme Microsoft dans ce
domaine ?
Je pense qu'ils sont assez sérieux et qu'ils rencontrent les mêmes
difficultés que d'autres éditeurs. Mais je pense aussi qu'ils
ne fournissent pas leurs correctifs suffisamment tôt.
Pour
revenir à un contexte d'échanges b-to-b, existe-t-il des
menaces très spécifiques sur les places de marché
à plusieurs niveaux ? Et comment y pallier ?
Ces places de marché soulèvent trois préoccupations
principales en matière de sécurité : le poste client,
la plate-forme serveur, et la sécurisation des protocoles transactionnels.
Du côté utilisateur, vous devez tenir compte des éventuelles
failles du système client, installer des firewalls, des réseaux
privés virtuels, chiffrer l'encapsulation, assurer l'identification
de la personne, etc. Du côté serveur, il faut couvrir les
mêmes domaines, plus d'autres comme la sécurité d'accès
au back-end, le chiffrement des champs, la protection de la base de données...
Enfin, concernant la partie transactionnelle, il faut assurer la protection
des informations de l'utilisateur pendant leur transfert du poste client
au serveur et entre les différents serveurs, avec une authentification
forte, une gestion des clefs, etc. En accordant une attention convenable
aux différents aspects techniques et politiques qui couvrent ces
trois domaines, vous pouvez implémenter une solution b-to-b robuste
capable de survivre à la plupart des attaques.
Après
la mise en place d'une politique de sécurité globale, quels
budgets les entreprises doivent-elles investir dans sa mise en application
?
Le budget dépend des menaces encourues par l'entreprise et du niveau
de sécurité requis pour protéger ses capitaux. Un
médecin qui exploite les données de ses patients doit être
en mesure de les mettre à l'écart des indiscrets. Et s'il
ne le fait pas, personne d'autre ne le fera pour lui. De même, quand
vous êtes mariés avec des enfants, vous vous devez de les
protéger.
En terme de budgets, je peux vous apporter la citation de Mitch Dem Bin,
qui est l'un des membres les plus influents du Department of Justice américain.
Il a piloté l'arrestation d'un grand nombre de hackers, et dispose
en ce sens d'une réelle expérience de la cyber-criminalité.
Selon lui, le coût exigé pour se défendre soi-même
ou son entreprise représente à peu près les pertes
engagées par cinq procès. Donc, si cinq personnes vous poursuivent
devant les tribunaux, vous avez payé pour votre sécurité.
Après, je ne connais pas le prix des investissements techniques,
mais je sais combien coûtent les avocats. Donc, en implémentant
une politique de sécurité, vous économisez cet argent,
et en plus vous gagnez la confiance de vos clients.
L'externalisation
d'actifs informatiques dans des sociétés situées
à l'étranger constitue-t-elle une véritable menace
? Comment travailler de façon sécurisée avec des
prestataires à risque ?
Cela se réduit toujours aux références du prestataire en
matière de certifications, et à sa crédibilité. Les vrais
professionnels en matière de sécurité, compétents
et expérimentés, ont une éthique personnelle et professionnelle sérieuse
dans leur domaine. Si vous travaillez avec un pays ou une société
qui ne soutient pas ces règles éthiques et ne les encourage
pas, alors vous pouvez rencontrer de sérieux problèmes.
Certains pays comme la Chine cherchent à fournir des systèmes de
sécurité comme moyen de garder un oeil sur la R&D de leurs clients et
leurs informations internes. Les vrais professionnels de la sécurité,
qui disposent de l'entraînement et des certifications appropriées
(comme le CISSP, Certified information systems security professional)
ne s'engagent pas dans de telles activités. De fait, confier son système
en infogérance à un ressortissant français, ou à un autre situé
à l'étranger, dépend véritablement des références
certifiées et de l'éthique du prestataire ainsi que de ses employés
qui fournissent le service.
Par
rapport aux grandes entreprises, les PME sont-elles aussi fréquemment
la cible d'attaques ?
Les PME sont même plus souvent attaquées. Tout simplement
parce que les hackers se font la main sur les petites entreprises avant
d'attaquer les grandes. Souvent, les PME n'implémentent pas de
systèmes de surveillance car ceux-ci coûtent trop cher. Mais
pour se protéger, il existe aussi des logiciels gratuits. Bien
entendu, comme il s'agit le plus souvent de tests d'intrusion, le hack
ne les tue pas.
Pourriez-vous
nous conter une annecdote concernant l'une de vos plus célèbres
arrestations de hackers ?
Je peux vous parler de mon intervention vis-à-vis du hacker Maffia
Boy il y a près d'un an, qui avait lancé les attaques massives
de déni de service sur des sites comme Yahoo, MSN et CNN. Une personne
qui me connaît avait suggéré au FBI de me contacter.
Je leur ai répondu que je pouvais le stopper net. En regardant
les données récoltées à l'issue des attaques,
nous savions à peu près où se trouvait ce hacker,
c'est à dire au Canada. Le FBI a donc contacté la police
canadienne. Et nous avons pu le localiser sur un forum de discussion en
direct (de type irc) ouvert aux hackers et ainsi remonter jusqu'à
son identité. Car les pirates se rencontrent beaucoup dans ce genre
d'endroits pour échanger des idées. Sinon, j'ai aussi travaillé
sur un cas d'extorsion de fonds de la part d'un pirate russe. Il était
impliqué dans une importante affaire de hacking.
Comment
lutter efficacement contre les nouveaux virus mutants qui ne sont plus
reconnus par les antivirus après avoir pris une nouvelle forme
?
Il faut que l'application vérifie elle-même si elle n'a pas
été modifiée en dehors d'un cadre normal. La technologie
qui permet cela est un algorithme de substitution polycryptique, qui peut
observer toutes les formes de modification en mémoire. Cette technologie
existe depuis 15 ans, mais elle est très difficile à
implémenter.
Certains
sites comme Netcraft ou NSI apportent une information de base, et d'autres
plus en marge fournissent des outils de hacking. Peut-on lutter efficacement
contre cela, notamment sur la partie légale ?
Non, nous ne pouvons pas lutter contre cela. Et pourtant, certaines de
ces informations servent à des fins de piratage industriel. En
effet, il est extrêmement simple de trouver des détails sur
le fonctionnement d'une entreprise et son infrastructure technique. Si
je veux avoir ces informations, plusieurs possibilités s'offrent
à moi, comme le social engineering (se faire passer par exemple
pour quelqu'un appartenant à la même organisation, ndlr),
les procédés techniques et d'autres chemins détournés
comme le fait d'aborder un fournisseur.
Croyez-vous
en une coopération inter-gouvernementale en matière de cyber-criminalité,
dans un contexte comme celui des Nations Unies ?
Pas à court terme. Il existe trop de politiques différentes,
trop de pays sans lois qui tiennent compte d'Internet et de la cyber-criminalité,
et cela engage de fait une complexité trop grande pour le législateur.
Peut-être qu'un jour, nous serons forcés d'y parvenir. Mais,
tout comme au sujet de la piraterie en haute mer, certains
pays continueront de ne pas supporter les lois tandis que d'autres en
tireront avantage pour stopper les hackers et les criminels. Et c'est
l'argument de la Loi qui revient tout au long de l'histoire humaine.
Selon
vous, existe-t-il de nouvelles menaces sur le point d'émerger ?
Les technologies sans-fil constituent un véritable problème
car les systèmes de sécurité sont trop faibles voire
inexistants dans la plupart des équipements en vigueur. La convergence
des plates-formes mobiles (téléphone + assistant personnel
+ réseau mobile étendu + logiciel PC traditionnel) offre
un large potentiel pour garder des données sensibles dans un ordinateur
de poche qui par ailleurs est accessible de l'extérieur par des
voies simplistes. Par exemple, le manque de sécurité pour
les systèmes de stockage intermédiaires comme le disque
dur d'un Palm Pilot devient un réel problème qui prend de
l'ampleur.
Et
concernant la multiplication des données personnelles ?
Au fur et à mesure que les réseaux s'approchent des résidences,
la possibilité pour la vie privé de se retrouver complètement
compromise constitue aussi un vrai problème. Je m'attends ainsi
à voir des données personnelles exploitées par des
hackers ou même des sociétés de marketing direct,
entre autres.
Et ceci m'amène à la question des méthodes de data
mining (statistiques prédictives de comportement) appliquées
aux segments transactionnels. Alors que les personnes deviennent de plus
en plus cyber-accessibles, il est de plus en plus facile de garder des
enregistrements des endroits où elles se rendent, de ce qu'elles
regardent et des magasins où elles achètent leurs produits.
Et ceci, à la fois dans l'espace virtuel et physique. Si cette
information est conservée dans des bases de données - et
elle l'est - et si elle est accessible par les outils d'analyse adéquats
- et elle l'est -, alors le fait de voir une entreprise développer
des segments transactionnels très précis sur une base par
personne devient très réel. Alors que cela constitue un
avantage pour le marketing, cela représente aussi un gros problème
pour la vie privée. Et je pense que celle-ci va devenir un défi
très important pour l'industrie.
Pour
terminer, quelles conclusions apporteriez-vous aux entreprises pour qu'elles
prennent réellement conscience de leurs besoins en terme de sécurité
?
Tout d'abord, la sécurité est l'un des moteurs les plus
importants pour les affaires. En abordant une approche client, la sécurité
apparaît indispensable ne serait-ce que pour des questions de confiance.
Or, nous sommes tous des clients et chacun est capable de comprendre cela.
Derrière, il faut se demander quels sont les bénéfices
d'une composante sécurité dans une perspective d'affaires.
Ces bénéfices peuvent être induits par le simple fait
d'être profitable et de conserver une bonne réputation. Mais
sinon, nos clients comprennent très bien que certaines personnes
peuvent les blesser et d'autres les protéger. Et notre rôle
est de leur faire comprendre avant tout qu'ils sont leur première
ligne de défense.
Outre les
détails mentionnés dans l'introduction, Bill Hancock
est également l'auteur de 29 livres sur le thème de la
sécurité et des réseaux. En plus de sa fonction chez
Exodus, il est rédacteur en chef de Computers and Security Magazine.
Membre de plusieurs organisations industrielles (IEEE, ACM, DECUS, ANSI...),
il participe régulièrement aux discussions concernant l'établissement
de nouvelles normes. Au sein des nombreux Who's Who, il est particulièrement
reconnu de la communauté mondiale, de celle des sciences et de l'ingénierie,
et du monde de la finance et de l'industrie. Avant de mériter ses
différentes certifications, CISSP mais également CND (Certified
network designer) et CSA (Certified network analyst), il a obtenu les diplômes
B.A., M.S. et Ph.D. en Computer Science.
|