Les technologies évoluent rapidement et sont de plus en plus à la disposition des hackers. Et pourtant, des mesures simples permettrait de se prémunir d’une part importante des attaques.
C’est le message simple que voulait partager les invités de cette conférence plénière du Global Summit organisé par NetEvents à SanJose (Californie). Malgré les évolutions technologiques rapides, « les motivations restent toujours les mêmes, considère MK Palmore, responsable de la Cybersécurité du bureau de San Francisco du FBI : financières, criminelles, étatiques ou encore activistes. Mais la motivation financière est prévalente ». Sachant que la barrière à l’entrée qui permet aux hackers de mener leurs attaques, ils peuvent accéder au Dark Web pour accéder aux outils et aux technologies dont ils ont besoin et peuvent le faire de manière totalement anonyme. L’anonymité est un des problèmes de l’Internet sur l’ensemble des fronts, en particulier les réseaux sociaux.
Le profil type du kacker semble est assez monolithique : un homme de 15 à 30 ans, qui n’a pas le plus souvent de formation académique, a juste un PC et une connexion pour lancer ses opérations malveillantes. Bien sûr, le loup solitaire cède de plus en plus la place à de véritables organisations criminelles transfrontières. Et qui utilisent des failles qui sont trop souvent le résultat de mauvaises pratiques des entreprises ou des organisations. Alors que des mesures simples permettrait de se prémunir de 80 % des attaques. L’authentification à deux facteurs par exemple est à la fois efficace et assez simple à mettre en œuvre et à utiliser.
C’est l’enseignement que l’on peut tirer de nombreux kackings récents et l’affaire Equifax ne démentira pas. Al Franken, sénateur du Minnesota, demande au CEO d’Equifax, Richard Smith, contraint à la démission, lors de son audition devant une commission du Sénat, comment il est possible que la sécurité des données privées de plus de 140 millions d’Américains ait pu être placée sous la responsabilité d’une seule personne ? Question simple à laquelle l’ex-CEO semble incapable de répondre.
« Les conséquences de cette cyberattaque ne sont guère étonnantes, estime Joël Mollo, Directeur Europe du Sud & Middle East, Skyhigh Networks en commentant la démission du DSI et RSSI d’Equifax. Les résultats d’une étude conjointe de Skyhigh Networks et de la Cloud Security Alliance, soulignaient en début d’année que suite à une fuite de données les conseils d’administration rejetaient la responsabilité finale des préjudices financiers d’une attaque sur les cadres dirigeants. Ainsi 29 % des personnes interrogées estimaient que le DSI et le RSSI devraient être licenciés en cas d’attaque majeure d’une application. Plus de la moitié (50,3 %) considèrent que le cadre responsable de l’application devrait être démis de ses fonctions ». Mais cette affaire était beaucoup trop grave qu’elle ne pouvait être circonscrite à l’informatique.
Michael Levin, ancien responsable du ministère de la sécurité intérieure (Department of Homeland Security) et fondateur et CEO du cabinet Founder Centre for Information Security Awareness, s’étonne du fait que « l’on délègue des responsabilités importantes à nombre de salariés à qui l’on donne accès à de très larges ressources informatiques et qu’on ne leur explique ce qu’ils peuvent faire et ne pas faire ». Et même les entreprises les plus avancées qui sont conseillent les autres sur les bonnes pratiques en matière de cybersécurité ne prennent pas toujours en interne les mesures élémentaires. Le cas récent de Deloitte est exemplaire. L’attaque a touché le serveur de l’entreprise hébergeant le service d’emails de Deloitte dont l’accès, via un compte administrateur, n’était protégé que par un unique mot de passe. Ces emails étaient ensuite stockés sur le cloud public de Microsoft : Azure.
Cédric Gestes, co-fondateur et CTO de la société Tanker, éditeur d’une solution de sécurisation des données hébergées sur le cloud via le chiffrement de bout en bout s’interroge sur les dispositifs de sécurité employés par Deloitte : « Comment un cabinet de cette envergure, mondialement reconnu, peut-il se contenter d’un si faible niveau de sécurité ? Une entreprise traitant des données sensibles à forte valeur ajoutée se doit de mettre en place une sécurité optimale. Si Deloitte utilisait le chiffrement de bout en bout, ces données compromis auraient été chiffrés en permanence et uniquement accessibles depuis les périphériques des utilisateurs disposant des clés de chiffrement. Ces clés, non partageables, ne quittent pas le périphérique de l’utilisateur et sont elles-mêmes chiffrées quand elles ne sont pas utilisées. De plus, aucun administrateur dans le système n’aurait disposé d’un accès privilégié aux fichiers des utilisateurs et un piratage de ce type n’aurait pas été possible. » explique-t-il.
Et quelles que soient les technologies, le facteur humain est toujours au cœur des questions de sécurité. « On apporte beaucoup d’attention à ce que les hackers vont utiliser pour lancer leurs attaques, considère Ron Layton, ancien directeur des Services Secrets américains. Mais la curiosité joue un rôle important dans la mesure où elle nous pousse à tout un chacun à envoyer un SMS ou consulter un blog tout en conduisant ». La connexion universelle faire naître de véritables comportements d’addiction très dommageables.
L’évolution des technologies entraîne des changements importants et rapides dans les pratiques des hackers. « Plus que la métaphore de la course entre les gendarmes et les voleurs, je préfère celle du jeu pierre, ciseau, papier, avance Ron Layton. Il faut être au fait de la dernière itération et prendre les mesures adéquates. Par exemple, le re ransomware n’était qu’au 22e rang des techniques de hacking utilisées en 2014. En 2017, il est passé en 5e position. En 2014, l’utilisateur qui s’est vu chiffré les données sur son PC n’a qu’une solution, payer. En 2017, il s’adapte et fait des sauvegardes ».
« Quand j’étais étudiant, les programmes que j’écrivais se mesuraient en centaines de lignes de code, aujourd’hui les applications font couramment plusieurs millions, poursuit Ron Layton. Et mes études en cryptographie m’ont montré que lorsque la complexité augmente, la sécurité diminue. Est-ce que les programmes d’aujourd’hui sont vulnérables, bien sûr qu’ils le sont ». C’est donc une révolution culturelle permanente qu’il faut mettre en place, la sécurité ne sera jamais figée, elle sera toujours en mouvement.