Dans l’univers des menaces internes
La récente attaque dont a été victime Sony ouvre la porte à une discussion publique sur le sujet des collaborateurs malveillants que de nombreuses entreprises sont encore réticentes à aborder.
Comme l’a dit quelqu’un dans un autre contexte : « ne gaspillez jamais une bonne crise ». Bien que nous n’en ayons pas encore la preuve définitive, il est déjà clair que certains employés ont été en quelque sorte impliqués dans la débâcle de Sony (voyez Did North Korea Really Attack Sony? de Schneier).
Pour l’instant, mettons Sony dans la catégorie des indécis en attendant de disposer de plus d’informations et penchons-nous sur les leçons tirées de cas de menaces internes avérées.
Excellente idée, mais où trouver ces
dossiers ?
Heureusement, le Carnegie Mellon’s Computer Emergency Response Team (CERT, équipe d’intervention informatique
d’urgence de la Carnegie Mellon University) a collecté auprès des Services
Secrets américains, et pendant sa propre pratique, des informations sur les
vols de données commis par des employés. Depuis plusieurs années, le CERT a constitué une importante base de données
de 700 incidents bien documentés qu’il a analysé dans le cadre de ses
recherches. Une conclusion qu’il
convient de souligner et d’indiquer que les motivations sous-jacentes des
attaquants internes et externes s’avèrent différentes.
Il est important de se rappeler que
les mêmes contrôles informatiques qui arrêtent les pirates de l’intérieur
bloquent aussi ceux de l’extérieur !
Étant donné que le CERT de la CMU est une organisation de recherches, il produit ses propres théories unifiées sur les délits informatiques commis par les employés. Vous pouvez découvrir celles-ci plus en détails dans ses études plus approfondies, si vous le souhaitez. Toutefois, comme dans tout mystère, ou toute série criminelle télévisée, la culpabilité est toujours établie en fonction des moyens, des motifs et de l’opportunité.
Il est particulièrement intéressant d’étudier les
motivations en matière de vol de données interne : pour quelles raisons
des collaborateurs de confiance se livrent-ils à des activités
répréhensibles ?
Les chercheurs du CERT ont examiné la question.
Parmi les 700 cas dont ils disposent,
ils ont analysé un sous-ensemble d’affaires portées devant les tribunaux
et ils sont parvenus à isoler quatre
catégories de motivations (voir le graphique) : vol pour gain financier, pour avantage concurrentiel
(vol de propriété intellectuelle), sabotage informatique, et une catégorie
« divers » regroupant des raisons plus obscures.
Bien qu’il représente moins de la moitié des cas,
le vol pour gain financier reste le motif le plus évident. L’équipe du CERT a découvert que ce type de fraude
est plus probablement le résultat d’employés non techniciens de niveau inférieur, généralement en collaboration
avec des pirates de l’extérieur.
Ces employés, généralement sujets à des problèmes
financiers, utiliseraient leur niveau d’autorisation d’opérateur de saisie des
données ou d’agent du service clientèle pour modifier des historiques de
crédit, ajuster des bénéfices ou créer de fausses informations d’identification
contre une rémunération.
Selon le CERT, ces activités sont finalement
découvertes en examinant les journaux d’activité, en particulier les journaux
de modification du système et d’accès aux fichiers. Cependant, un délai souvent très long s’écoule
entre le délit et sa détection.
En gardant l’infraction de Sony à l’esprit, nous savons que le vol à motif non financier peut s’avérer tout aussi dévastateur que celui qui se produit sous le signe d’un symbole monétaire. Le point intéressant à propos du sabotage informatique est qu’il est commis en tant qu’acte de vengeance par le proverbial employé mécontent.
Quelle est la source de ce mécontentement ?
Les chercheurs du CERT indiquent que
l’événement déclencheur peut être « un licenciement, un différent avec
l’employeur, de nouveaux superviseurs, un transfert, une rétrogradation ou une
insatisfaction liée à l’augmentation du salaire ou aux bonus ».
Il n’est pas surprenant que les actes de sabotage
informatique soient perpétrés par des collaborateurs techniciens (pour la plupart
de sexe masculin) qui ont réussi à s’emparer des informations d’identification
d’une autre personne. En effet, ce
sont ces informaticiens calés qui volent les mots de passe d’autres
utilisateurs et jettent la clé à molette virtuelle dans la machinerie
informatique. Cela peut comprendre
l’écriture d’un script ou d’un programme pour supprimer de grandes quantités de
données, ou même la mise en place d’une porte dérobée pour lancer une attaque
beaucoup plus tard.
Les saboteurs sont finalement identifiés au moyen
de l’examen des journaux d’accès à distance, d’accès aux fichiers, de bases de
données, d’applications et de messagerie. Mais les chercheurs du CERT soulignent qu’étant donné leur sophistication
plus grande que celle des voleurs de données à motif financier, ils savent
dissimuler leurs traces en supprimant ou en modifiant les fichiers de
journalisation eux-mêmes.
Il existe d’autres aspects liés aux motivations que je n’ai pas la place d’aborder dans cet article. L’équipe du CERT a abouti à certaines idées provocatrices selon lesquelles les facteurs environnementaux (risque perçu d’être pris et culture de l’entreprise) ont une incidence sur la motivation. Il peut même exister des signes précurseurs qui permettent de détecter les voleurs de données en devenir.
Nous entrons sur le territoire d’un « rapport
majoritaire », mais certaines preuves suggèrent que les pirates internes
sondent les défenses des entreprises longtemps avant l’attaque réelle.
Nous aborderons ce sujet et d’autres dans mon
prochain article de cette série consacrée aux menaces internes.