Dans l'univers des menaces IT internes : moyens et opportunités
Après avoir abordé les motifs psychologiques relativement complexes des pirates internes, il est intéressant de se pencher sur les moyens et opportunités qui permettent à ces derniers de passer à l'acte.
Après être passés du côté obscur,
les pirates internes ont un avantage important sur ceux de l’extérieur :
ils se trouvent dans une position privilégiée par défaut. Ils disposent d’un
accès autorisé aux fichiers, aux applications, au code source et aux données
sensibles. S’ils ne se font pas remarquer, il est difficile de les arrêter
(mais non impossible, comme nous le verrons).
Revenons à notre comparaison
entre crime et mystère. Le délit informatique est l’équivalent numérique du
« majordome est coupable » et il n’y a pas plus interne qu’un employé
de confiance.
La bombe logique redoutée
Pour les pirates internes, bien
sûr, il n’est pas très difficile de saisir la bonne occasion : ils ont
déjà franchi les barrières de sécurité et se trouvent dans la place. Le
problème pour eux est maintenant celui de la planification et du minutage.
Débarrassons-nous d’abord des
mauvaises nouvelles. Parmi les techniciens ayant commis un sabotage
informatique, un petit groupe (environ 30%) disposait d’un accès
approprié aux fichiers et aux logiciels concernés. Les 70% restants
avaient obtenu un accès non autorisé en captant les données d’un autre compte
utilisateur.
Une supervision systématique
permettrait bien mieux de repérer et de prévenir les attaques internes de ce
second groupe. En effet, avec un logiciel d’analyse de fichiers adéquat,
vous disposez déjà d’une activité de base des utilisateurs, ce qui vous permet
d’identifier les accès anormaux quand un pirate interne a pris le contrôle d’un
compte.
Il existe probablement des signes
précurseurs dans les deux situations : comportementaux et techniques.
Ainsi, si vous voulez vraiment empêcher tout sabotage informatique ou vol de
données interne, vous devrez rester à l’affût des incidents sur le lieu de
travail et mettre en place une surveillance initiale en particulier après une
rétrogradation, un bonus ou une augmentation de salaire moindre que prévu, et
bien sûr, pendant une procédure de licenciement.
Dans chaque cas, une fois que les pirates de l’intérieur ont accès au code ou aux données sensibles, les moyens du sabotage deviennent clairement visibles. Ils n’ont même pas besoin d’introduire un quelconque logiciel malveillant !
Les pirates internes techniciens
placent généralement des bombes logiques supprimant des fichiers ou ajoutant
dans le code des portes dérobées susceptibles d’être exploitées plus tard. Et
évidemment, les pirates internes se trouvent dans une position idéale pour
voler tout simplement les données.
Quelques dossiers réels
Pour avoir une idée de ce que
font les pirates internes, j’ai jeté un coup d’œil aux dossiers du CERT de la
CMU.
Un employé (appelons-le
« Bob ») travaille en tant que programmeur sous contrat dans une
société hypothécaire. Après avoir appris que celle-ci ne renouvellera pas son
contrat, Bob développe un script permettant de désactiver la supervision des
alertes et des connexions puis de supprimer les mots de passe sur l’ensemble du
serveur de l’entreprise.
Notre pirate interne conçoit ce
script de manière à ce que celui-ci reste inactif pendant trois mois et salue
les administrateurs au moyen d’un e-mail sinistre. Il n’en faut pas plus,
Docteur Maléfique !
Heureusement, après le départ de
Bob, un de ses collègues détecte le code malveillant et le supprime.
Bien que je ne dispose pas des
chiffres exacts du CERT, il semble que la suppression massive de données
constitue une forme fréquente de sabotage informatique. Rien de très subtil à
ce niveau : la philosophie du pirate interne se résume à « je vous
entraîne dans ma chute ».
Pensez à la sauvegarde !
Je rédigerai un dernier article
pour fournir mes recommandations en matière de prévention et d’atténuation des
menaces internes. Entre-temps, une manière très évidente de réduire les
problèmes dus aux fauteurs de troubles internes consiste à mettre en place un
programme efficace de sauvegarde et d’archivage des données.
Vous n’avez pas forcément besoin
de sauvegardes fréquentes pour toutes les parties du système de fichiers. Mais
dans les zones sujettes à des mises à jour régulières (stockages de logiciels,
courriers électroniques, certains fichiers de configuration), les sauvegardes
quotidiennes sont justifiées et pratiques.
L’autre problème, maintenant mis
en évidence par l’incident Sony, est le risque associé à la conservation de
tous les actifs dans un format numérique facilement accessible. Ou, comme le
dit Bruce Schneier, la sécurité de la suppression des données.
Le compromis consiste à archiver
sur un stockage hors ligne les fichiers de données qui ne sont pas réellement
essentiels aux opérations quotidiennes de l’entreprise. Cela demande bien sûr
une analyse plus approfondie du système de fichiers pour identifier les
informations véritablement critiques et celles qui sont rarement ou jamais
utilisées.
Si c’est bien effectué, une
entreprise peut réduire sa surface de risque : un pirate interne ne peut
pas voler ou perturber ce qui ne se trouve pas là !