Ca attaque, ça attaque…

En ce moment ça n’arrĂȘte pas, les cyberattaques ciblĂ©es vers des organismes sensibles. Pas bon, pas bon, cette annĂ©e 2011…

Petite rĂ©trospective…

DĂ©but fĂ©vrier, la bourse de New-York, et plus prĂ©cisĂ©ment le Nasdaq se fait pirater. Il y a eu plus de peur que de mal mais c’est quand mĂȘme mauvais signe… on imagine sans peine ce qui aurait pu se passer si les attaquants avaient dĂ©stabilisĂ© les cours… Pratique qui existe dĂ©jĂ  Ă  Ă©chelle rĂ©duite avec la technique du pump-and-dump, mais qui ne cible qu’une sociĂ©tĂ© Ă  la fois, et qui ne nĂ©cessite pas d’aller jusqu’Ă  un piratage des systĂšmes boursiers.

DĂ©but mars, on apprend qu’en France le ministĂšre des Finances, Bercy, s’est fait infiltrer depuis quelques mois et que de nombreux ordinateurs internes (prĂšs de 400 ?) ont permi l’exfiltration de donnĂ©es liĂ©es au G20. Le commanditaire serait la Chine, parait-il. Pas bon non plus. Les Ă©quipes chargĂ©es de la sĂ©curitĂ© ont pu dĂ©tecter l’intrusion, un peu tard il est vrai, mais dans un environnement aussi complexe que celui de Bercy (des centaines de milliers de postes de travail), il n’y a pas de quoi critiquer leur temps de rĂ©action.

Juste avant cette attaque, l’agence nationale chargĂ©e de la protection de l’Administration française en matiĂšre d’attaques informatiques, l’ANSSI, a publiĂ© sa stratĂ©gie en crĂ©ant le premier centre de Cybercommandement français… le concept de Cyberguerre y est bel et bien dĂ©veloppĂ©, et d’ailleurs est pris en charge par l’agence en question.

Il y a deux semaines environ, les clients de la banque Raiffeisen ont constatĂ© que le service e-banking leur permettant de gĂ©rer leurs comptes par Internet Ă©tait indisponible. La panne a durĂ© une semaine complĂšte ; selon le porte-parole de la banque il ne s’agirait pas d’une panne lie Ă  un piratage. N’empĂȘche qu’avec tous ces piratages en cours un peu partout, on est tout de mĂȘme en droit de se poser la question.

Il y a quelques jours, c’est au tour de la sociĂ©tĂ© RSA, leader mondial dans un produit de sĂ©curitĂ© appelĂ© « SecurID » permettant de se connecter de maniĂšre sĂ©curisĂ©e avec une calculette. Ce systĂšme est censĂ© garantir la sĂ©curitĂ© des transactions et des accĂšs… Ă  la condition que les informations ultra-secrĂštes dĂ©tenues par la sociĂ©tĂ© RSA elle-mĂȘme soient gardĂ©es prĂ©cieusement. Or la sociĂ©tĂ© a reconnu s’ĂȘtre fait pĂ©nĂ©trer par des attaquants qui ont redoublĂ© d’ingĂ©niositĂ© pour entrer sur ces ordinateurs trĂšs sensibles. Du coup, la sĂ©curitĂ© du produit est mise Ă  mal et les 40 millions de clients qui utilisent cette fameuse calculette devraient s’inquiĂ©ter…

Hier, on apprend que la sociĂ©tĂ© Comodo, qui vend non seulement des pare-feux et produits de sĂ©curitĂ© pour PC mais Ă©galement les fameux certificats SSL permettant de garantir la protection des accĂšs aux sites web via le protocole HTTPS s’est elle aussi fait attaquer avec succĂšs. L’objectif de l’attaque, encore une fois trĂšs ciblĂ©e Ă©tait clair : voler des certificats « racine » permettant alors de falsifier des certificats SSL, avec les consĂ©quences graves que l’on imagine. DĂšs la dĂ©couverte de l’intrusion rĂ©ussie par Comodo, ces derniers ont prĂ©venu les diffĂ©rents fournisseurs de navigateurs Internet pour leur demander d’invalider les certificats SSL volĂ©s. C’est la raison pour laquelle Mozilla Firefox, Google Chrome, Internet Explorer ont annoncĂ© une mise Ă  jour urgente ! En effet, les certificats posant souci sont loin d’ĂȘtre anodins : www.google.com, mail.google.com, login.yahoo.com, login.skype.com, login.live.com, et addons.mozilla.org, rien que ça ! Les Ă©quipes de sĂ©curitĂ© ont rĂ©ussi Ă  remonter l’attaque jusqu’Ă  l’Iran. Je vous conseille de mettre Ă  jour vos navigateurs, conseil d’ami…

Et aujourd’hui aussi on apprend que lUnion EuropĂ©enne s’est elle aussi fait pirater… Une belle grosse attaque ciblĂ©e visant le systĂšme de messagerie Exchange. Les informaticiens ont du dĂ©brancher la messagerie et l’accĂšs Ă  Internet, et planchent sur le problĂšme pour dĂ©terminer l’Ă©tendue des dĂ©gĂąts…

Ce que j’en pense

L’annĂ©e 2011 est mal partie. Belle grosse dĂ©stabilisation gĂ©opolitique au proche-orient, belle grosse catastrophe humanitaire et nuclĂ©aire au Japon, belles grosses attaques informatiques…

Concernant ces derniĂšres, on constate que ce sont des attaques de professionnels, voire d’Ă©tats possĂ©dant des capacitĂ©s en informatique offensive (entendez cyber-armĂ©es). On constate que l’Ăšre des attaques bĂȘtes et triviales de type DĂ©ni de Service DistribuĂ© (dDoS)  est plus ou moins rĂ©volue, laissant leur place Ă  des attaques bien plus sophistiquĂ©es et ciblĂ©es. Le mot marketing Ă  la mode pour cela s’appelle « APT » (Advanced Persistant Threat), mais ça a toujours existĂ© : une dose d’ingĂ©nierie sociale, une dose de bons hackers professionnels (j’insiste sur ce point), et on mĂ©lange le tout… personne n’y voit rien, ni les anti-virus ni les Ă©quipes de sĂ©curitĂ©, et pourtant les systĂšmes se font attaquer.

IntĂ©ressant Ă©galement de voir que les attaquants ne craignent plus d’attaquer des organismes gouvernementaux, des sociĂ©tĂ©s spĂ©cialisĂ©es en sĂ©curitĂ©, etc. Ils ont dĂ©sormais suffisament de compĂ©tences pour avoir confiance en leurs attaques.

Et selon moi ce n’est que le dĂ©but. Ces cyber-armĂ©es, il va bien falloir se rendre Ă  l’Ă©vidence, existent bel et bien et font des dĂ©gĂąts… Sans compter les mafias et autres cyber-criminels qui eux aussi maĂźtrisent de mieux en mieux le tout.

En fin d’annĂ©e derniĂšre, les Ă©tats EuropĂ©ens se sont entraĂźnĂ©es dans le cadre de diffĂ©rentes simulation d’attaques informatiques mondiales touchant Internet : CyberStorm III le 30 septembre, Cyber Europe 2010 le 5 novembre, Cyber coalition 2010 le 20 novembre avec l’OTAN, etc. Preuve que le problĂšme est dĂ©sormais pris en compte au plus haut niveau des Etats.

Pas la peine cependant de cĂ©der Ă  la panique, il faut s’organiser et prendre un peu de recul. En tant que RSSI d’un organisme d’Ă©tat, je suis Ă©galement confrontĂ© au risque d’intrusion de ce type, et voici les quelques conseils que je donne :

1. Sensibiliser les employĂ©s au risque d’attaques de ce type : « Ne pas cliquer sur des piĂšces jointes suspectes, ne pas cliquer sur des liens inconnus etc… »

2. Former le personnel informatique, notamment en charge des réseaux, serveurs et postes de travail (bref, tout le monde). Leur expliquer les risques.

3. Patcher, patcher, patcher… Postes de travail, serveurs et de maniĂšre gĂ©nĂ©rale tout ce qui touche de prĂšs ou de loin Ă  Internet.

4. PrĂ©parer des scĂ©nario d’urgence (changement de masse des mots de passe, dĂ©connexion messagerie et accĂšs Internet, etc.)

5. S’Ă©quiper en outils d’analyse, de diagnostic et avoir les compĂ©tences qui vont bien avec, pour rĂ©agir vite.

6. Avoir une Ă©quipe de spĂ©cialistes prĂȘte (sociĂ©tĂ© externe par exemple) Ă  rĂ©agir d’urgence pour accĂ©lĂ©rer le diagnostic en cas d’intrusion.

 

Le concours Jurackerfest.ch

Ce n’est pas anodin, j’organise un concours de piratage informatique les 26 et 27 aoĂ»t prochain dans le cadre de l’association BIMO. Une confĂ©rence de presse a dĂ©jĂ  eu lieu la semaine derniĂšre, et l’objectif est justement de faire venir des passionnĂ©s de sĂ©curitĂ© ainsi que des nĂ©ophytes afin que les seconds dĂ©couvrent ces nouvelles menaces. Organiser un tel concours ne me pose aucun souci, c’est au contraire trĂšs bien d’en parler et de dĂ©mystifier cela auprĂšs du grand public et des jeunes. Nous avons besoin de nous dĂ©fendre face Ă  tous ces nouveaux attaquants professionnels ou Ă©tatiques, et ce n’est pas en restant les bras croisĂ©s que l’0n y parviendra.

J’espĂšre que ces journĂ©es permettront aux jeunes informaticiens de dĂ©couvrir une vocation dans la protection des systĂšmes, et que le grand public pourra Ă©galement poser toutes les questions relatives Ă  ces attaques majeures… et quasi quotidiennes. Nous en avons besoin pour dĂ©fendre nos systĂšmes d’information, que ce soit pour les particuliers que pour les entreprises et organismes divers.

 

Ce contenu a été publié dans IT Security. Vous pouvez le mettre en favoris avec ce permalien.

6 rĂ©ponses Ă  Ca attaque, ça attaque…

  1. Merci pour ce post, Bruno. Juste un petit commentaire, je ne pense pas que les attaques de type DDoS soient « rĂ©volues ». Bien au contraire, il y en a de plus en plus, et elles coutent de moins en moins cher (je parle pour ce qui est location de botnet dĂ©diĂ©s au DDoS …). C’est un type d’attaque bien pratique pour essayer de ruiner la concurrence, pour certains, ou pour « empĂȘcher de tourner rond » pour d’autres (hacktivistes)…

  2. Tu as certainement raison, mais de mon point de vue je suis bien plus inquiet lorsque je vois des attaques du type que j’ai dĂ©crites, que les attaques en dĂ©ni de service distribuĂ©. Les attaques dDoS se voient immĂ©diatement, alors que les attaques en cours en ce moment peuvent passer inaperçu de longs mois, et les dĂ©gĂąts sont bien plus difficiles Ă  dĂ©terminer, puis Ă  Ă©liminer… TrĂšs difficile de dĂ©tecter des rootkits installĂ©s, de l’exfiltration de donnĂ©es, etc, surtout aprĂšs quelques mois…

  3. ITI dit :

    Merci pour cette conclusion : « IntĂ©ressant Ă©galement de voir que les attaquants ne craignent plus d’attaquer des organismes gouvernementaux, des sociĂ©tĂ©s spĂ©cialisĂ©es en sĂ©curitĂ©, etc. Ils ont dĂ©sormais suffisamment de compĂ©tences pour avoir confiance en leurs attaques.
    Et selon moi ce n’est que le dĂ©but. » qui ne fait que confirmer ce que l’on essaye d’expliquer Ă  de nombreux clients depuis des mois, voire plus….
    La punition a-t’elle toujours un rĂŽle pĂ©dagogique ?

  4. Ping : Actus SĂ©curitĂ© Grand public 2011 S12

  5. Gaudun FrĂ©dĂ©ric dit :

    Merci pour toutes ces infos Bruno.
    La cyberguerre est une réalité. La Corée du Nord, La République Populaire de Chine, la Russie, les USA ont tous leur division de guerre informatique.
    Les pays de notre bonne vieille Europe sont Ă  mon sens un peu Ă  la traine.
    Une attaque ciblĂ©e sur le rĂ©seau d’un Ă©tat peut ĂȘtre aussi destructeur qu’une frappe avec des armes conventionnelles.
    De plus, les techniques de hacking, l’enseignement informatique sont disponibles au plus grand nombre. Rien n’empĂȘche un « rogue state » pour paraphraser nos amis amĂ©ricains de lancer une cyber attaque, c’est plus facile et nettement moins couteux Ă  dĂ©velopper qu’une force de frappe nuclĂ©aire ou qu’un avion de chasse de 5e gĂ©nĂ©ration.
    2011 sera peut ĂȘtre enfin la prise de conscience des Ă©tats du risques informatiques. Malheureusement cela marque aussi la fin d’une certaine libertĂ© de l’Internet.

  6. Ping : Rien ne va plus dans la sĂ©curitĂ© : L’infoguerre est dĂ©clarĂ©e | b3b

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *