Si Harry Potter était un cyber-sorcier, comment protégerait-il Poudlard ?

A bien y réfléchir, l’univers de J.K. Rowling est utile pour vulgariser la cybersécurité afin d’aider les simples moldus que nous sommes, c’est-à-dire les humains dépourvus de pouvoirs et ignorant l’existence de la magie, à y voir plus clair !

L’engouement autour d’Harry Potter a traversé les frontières depuis la parution du premier tome en 1997. Certains spécialistes ont même affirmé que des enfants reprenaient goût à la lecture grâce à cette épopée en sept volumes. Et, à bien y réfléchir, l’univers de J.K. Rowling, son auteur, est même utile pour vulgariser la cybersécurité afin d’aider les simples moldus que nous sommes - c’est-à-dire les humains dépourvus de pouvoirs et ignorant l’existence de la magie – à y voir plus clair !

Nombreuses sont les entreprises qui, malgré les campagnes de sensibilisation, ne protègent toujours pas leurs accès à privilèges de manière appropriée, et mettent ainsi en danger leurs données sensibles.  Poudlard, l’école de sorciers de l’univers de J.K. Rowling, ne fait probablement pas exception : ses secrets sont eux aussi vulnérables aux attaques internes et externes.

Impossible de croire que toutes les informations relatives aux élèves, aux professeurs, au personnel et aux enseignements – précédents et actuels – soient toutes stockées dans une "pensine" (une sorte de bassine dans lequel son propriétaire peut déposer ses pensées et souvenirs) ou un sac doté d’un sortilège d’extension, permettant d’agrandir grandement sa capacité de stockage. Il parait évident que Poudlard bénéficie d’un cloud public, évidemment magique, qui héberge des bases de données ainsi que des machines bénéficiant de privilèges ; ces derniers permettent à tout utilisateur, légitime ou malveillant, de faire ce que bon lui semble sur l’ensemble du réseau, et notamment en termes de gestion des accès et identifiants (ou IAM, pour Identities and Access Management).

La gestion du cloud public se fait grâce à une console d’administration, qui permet par exemple de gérer les accès aux données, mais aussi de contrôler les déplacements des escaliers (qui ne cessent de bouger latéralement ou verticalement), les allées et venues des personnages dans les tableaux, ou encore le comptage des points de chaque maison pour le trophée de fin d’année - dans l’école des sorciers, les élèves sont associés à quatre maisons différentes : Gryffondor, Serdaigle, Poufsouffle et Serpentard ; et leurs comportements engendrent des bons ou mauvais points. La maison qui comptabilise le plus de points à la fin de l’année scolaire gagne un trophée. L’accès à cette console doit donc être bien protégé et surveillé, car les conséquences peuvent être désastreuses.

Pour prendre ce contrôle tant recherché sur Poudlard, les "Mangemorts" – sorciers malveillants obéissant à Lord Voldemort, ennemi juré de Harry Potter – peuvent cependant agir insidieusement et profiter de failles dans la sécurité. Ainsi, ils peuvent compromettre les accès et clés secrètes afin de pénétrer sur le réseau via les services et applications utilisés et souvent mal protégés. Leur objectif est ensuite de créer un nouveau compte utilisateur à haut pouvoir dans l’IAM (gestion des identités et des accès) sans que personne ne s’en rende compte. La suite est à la portée de quiconque : avec leurs identifiants à privilèges récemment créés, les individus malveillants accèdent facilement à la console d’administration du cloud. Ils peuvent alors obtenir, modifier ou détruire les informations présentes dans les bases de données. La marque des Ténèbres, symbole de Lord Voldemort, brillera alors au-dessus de l’école pour marquer la réussite de l’attaque perpétrée par ses fidèles partisans – transposé dans le monde réel il s’agit de la révélation au grand jour d’un vol de données de masse publié dans les média.

De telles actions seront possibles si le cloud ne bénéficie pas d’une sécurité adéquate pour protéger les données sensibles, ainsi que leur accès. Il est probable que le réseau et son utilisation aient évolué, et que les directeurs de l’établissement se soient succédés, sans se préoccuper de savoir si la stratégie de sécurité en place était efficace – à l’instar de nombreuses entreprises. Quel que soit le nom que porte l’organisation, sans surveillance rapprochée, la menace continue d’évoluer insidieusement. C’est pourquoi il est primordial qu’une personne ou une équipe formée soit entièrement dédiée à la cybersécurité pour assurer la protection des données.

Une vulnérabilité récurrente au sein des entreprises – et des écoles de sorciers –, réside dans le fait que les clés des interfaces de programmation sont intégrées aux scripts et exposées sur les terminaux des développeurs dans le code applicatif et les répertoires, ou intégrées dans des conteneurs. Ils ne bénéficient donc pas d’une sécurité à hauteur de leur criticité ! En outre, à l’aide de magie, ou de nouvelles technologies – telles que le machine learning – les activités sur les réseaux doivent être surveillées étroitement pour pouvoir détecter en temps réel toute action suspecte, et la contenir si besoin après analyse de sa légitimité et des risques encourus. Il faut toujours se méfier aussi des utilisateurs internes : les Serpentards sont notamment bien connus pour avoir des accointances avec les (cyber)mages noirs – aka les hackers ou utilisateurs du darknet.

Qu’ils soient magiques ou non, les services cloud publics doivent avoir une protection adéquate – aussi poussée que celle déployée pour protéger la Pierre Philosophale, permettant la vie éternelle et stockée pendant une année à Poudlard. Mangemorts ou cybercriminels ne pourront par conséquent pas opérer leurs méfaits aussi facilement. Ils ont cependant plus d’un tour dans leur baguette magique et font évoluer en continu leurs techniques d’attaques. Le (cyber)sortilège parfait ? Penser comme un attaquant, afin de toujours garder un sort d’avance et se protéger de manière optimale !