Méfiez-vous du réparateur de la photocopieuse

Il y a deux catégories d'individus potentiellement capables de nuire au système d’information d'une entreprise de l'intérieur : les pirates professionels et les employés qui en veulent à leur entreprise.

D'une part, les pirates professionnels qui ont un « contrat » sur l'entreprise. Ceux-ci sont donc financés par un concurrent plus ou moins direct. Les contrats pouvant s'élever à plusieurs dizaines, voire centaines de milliers de dollars, en fonction des objectifs. Les moyens employés par ces derniers pour infiltrer l'entreprise peuvent être relativement importants, et les conséquences catastrophiques, d'un point de vue concurrentiel.

D'autre part, nous avons les employés qui ont envers leur propre entreprise un quelconque grief. Les déçus, les amers, les revanchards, qui cherchent à nuire volontairement à leur société.

Il s'agit pour eux de détruire plus que de voler, chose qu'ils feront avec plus ou moins de réussite et de discrétion, suivant leur compétence et leur inventivité (du détergent pour WC dans la baie de stockage peut être largement aussi pénalisant qu'un 'sudo rm -rf /' ).

Ces derniers sont responsables de l'écrasante majorité des incidents « d'origine interne » dans un SI. Pour contourner les défenses périmétriques et s'introduire au coeur des SI les pirates utilisent un large éventail de techniques. 

Les intrusions purement électroniques : exploiter à distance les failles des défenses du SI, afin de les transpercer ou de les contourner.

C'est moins difficile qu'on le croit. En effet, les systèmes publiquement accessibles (serveur web, mail, etc...) depuis l'extérieur comportent fréquemment des failles; or lorsque celles-ci sont découvertes et deviennent publiques, même si les patchs sont immédiatement disponibles, les administrateurs systèmes les appliquent rarement d'emblée.

Ce qui, d'une certaine manière peut se comprendre. Avant de patcher un serveur en production, il convient de faire des tests lors d'une phase de QA typique, de respecter les procédures, etc... Ils partent (à tort ou à raison) plus ou moins implicitement du principe que si les serveurs en production crashent, les conséquences sont souvent pires qu'un piratage.

Autre technique très prisée par les pirates : obtenir un point d'accès par le « social engineering » d'un employé (i.e. l'amener à exécuter un cheval de Troie ou à révéler ses mots de passe par des techniques de manipulation plus ou moins subtiles), et pirater le reste depuis l'intérieur. Il y a par exemple le « spear phishing ».

Les intrusions physiques : plutôt l'apanage des pros sous contrat, et nettement plus risqué. Cela va du déguisement en personnel d'entretien jusqu'à l'infiltration pure et simple par embauche. Très difficile de s'en prémunir. Les pirates utilisent cette technique uniquement si le jeu en vaut la chandelle.

Les intrusions semi-physiques. Il s'agit ici d'introduire un cheval de Troie électronique classique dans le SI, par des moyens physiques. On se souvient bien du cas d'espionnage industriel en Israël en 2005. Un réseau de pirates à la solde d'une société industrielle faisait livrer par la poste des CD de demo aux concurrents de celle-ci. Evidemment, les CD de demo étaient truffés de chevaux de Troie.

Autre cas notoire : une société d'audit en sécurité informatique a entrepris de semer des clés USB dans le parking d'une société qu'elle auditait. Le premier réflexe des chanceux qui les trouvèrent fut en général de les connecter à leur machine « pour voir ce qu'il y avait dessus ». Curiosity killed the cat, disent les Anglo-saxons.

Les attaques accidentelles....

Il est donc important de rappeler que pour empêcher les collaborateurs de nuire au SI de façon accidentelle, l'entreprise doit avoir des règles de gestion de droits utilisateurs efficaces et cohérentes.

L'approche de type « White List » est ici recommandée, afin d'éliminer l'attribution de droits superflus : par défaut, personne n'a le droit à rien. Puis chaque utilisateur se voit allouer des droits précis en fonction de ses besoins et de sa fonction. Inutile, par exemple, que quiconque à l'exception du webmaster ait accès aux logs ou aux backups du serveur web.

Les campagnes informatives et éducatives du personnel en termes de sécurité informatique sont également particulièrement importantes. Il suffit de voir le budget alloué par Boeing par exemple. A ce niveau là, il faut bien être conscient de deux choses:

-         Les pirates considèrent que les êtres humains qui composent une société en sont le maillon le plus faible. D'où la prévalence du social engineering.

-         Contrairement à ce que l'on pense, le phishing (et sa version ciblée, le spear phishing) fonctionne, non pas parce que les gens sont « idiots », mais tout simplement parce qu'ils n'en ont jamais entendu parler.

Les attaques intentionnelles....

Pour empêcher les collaborateurs de nuire au SI de façon intentionnelle, il est important de mettre en place un dispositif de gestion des droits rigoureux et personnalisé qui fermera bien des portes à un employé mal intentionné. Segmenter par fonction et sécuriser physiquement les points névralgiques sont également important - ici aussi, le même principe s'applique.

En conclusion, pour donner quelques conseils aux RSSI pour parer aux attaques internes : « Méfiez-vous du réparateur de la photocopieuse à qui personne n'a jamais demandé de venir ». Et plus sérieusement, il faut faire en sorte que les employés comprennent que leurs machines sont des systèmes complexes, dont la santé et la sécurité dépendent d'eux.