Le triste état de la cyber-sécurité

Force est de constater que l’état de la cyber-sécurité est piteux. Nombreuses sont les institutions qui se sont fait pirater. Un des cas les plus sérieux est celui du bureau de gestion du personnel américain (Office of Personnel Management ou OPM) qui s’est fait voler les informations sur tous les employés d’état, ainsi que de toutes les personnes ayant une accréditation secret défense – plusieurs millions de personnes en tout.

L’état des lieux n’est guère plus reluisant du côté des produits grand public. Des chercheurs ont par exemple réussi à prendre contrôle à distance d’une Jeep (et potentiellement des millions de véhicules de marques Jeep, Fiat ou Chrysler). Et très peu de smartphones Android ne recevront un correctif pour une importante vulnérabilité récemment découverte permettant de prendre le contrôle du smartphone avec un simple message MMS.

Quand on sait que n’importe quel site Web, webcam ou appareil constamment branché sur Internet est traqué par des moteurs de recherche spécialisés, ou pourrait penser que les fabricants sont un peu prudent en matière de sécurité. Hélas, c’est rarement le cas.

On est en raison de demander pourquoi il y a autant de failles. Il existe deux principales raisons.

Les multiples failles possibles

La première raison est que les systèmes actuels sont de plus en plus complexes. Et que plus un système est complexe, plus il y a de failles potentielles.

Considérons le cas d’un site service Web lambda qu’un hacker veuille compromettre :

• Ce dernier peut essayer de trouver des failles connues à tous les niveaux logiciel, qu’il s’agisse du système d’exploitation, du serveur Web, du serveur d’application, dans l’espoir que la compagnie n’a pas encore appliqué tous les correctifs
• Il peut essayer de trouver des failles dans le site Web même que la compagnie a écrit
• Il peut essayer d’intercepter des communications réseau pour récupérer des codes d’accès
• Il peut essayer de se connecter en tant qu’un employé en utilisant des mots de passe commun (il y aura bien un pour essayer d’utiliser « 123456 » comme mot de passe)
• Il peut essayer de contacter un ex-employé qui a une dent contre la compagnie, dans l’espoir d’obtenir des informations
• Il peut tenter d’envoyer du malware à des employés par email, permettant par exemple de controller à distance leur machine. Il peut avant l’attaque télécharger les antivirus du marché pour s’assurer qu’ils ne détecteront pas le malware
• Finalement, il peut utiliser de l’engineering social, comme appeler un nouvel employé et se faire passer pour le patron afin de soutirer des informations. Ou appeler le patron et se faire passer pour quelqu’un de l’équipe informatique en lui demandant d’installer un « correctif d’urgence »

Car il ne faut pas sous-estimer l’ingéniosité de certaines attaques. Prenons l’exemple de la cryptographie. Imaginez le scénario hypothétique où vous devez 20 € à Bob, et que pour le régler vous envoyez un email encrypté à votre banque. Cet email contient votre identifiant, mot de passe, numéro de compte, et demande de verser 20 € à Bob. Il est encrypté de telle sorte que même si Bob intercepte le message, il ne peut ni le décrypter ni même le modifier sans que la banque découvre la supercherie.

Mais qu’arrive-t-il si Bob envoie plusieurs copies de votre email à la banque ? Si cette dernière n’a pas de mécanisme contre ce type d’attaque (appelé replay attack), vous allez payer bien plus que 20 € à Bob.

Un problème spécifique à l’informatique ?

Il ne faut cependant pas croire que la sécurité informatique soit beaucoup moins fiable que la sécurité physique. Considérons le cas des cambrioleurs. Ils rivalisent souvent d’astuce pour arriver à leurs fins :

• Tout d’abord, il existe de nombreuses techniques pour trouver des gens qui vont en vacance. Cela va de glaner des informations sur Facebook à prendre de discrètes photos dans un aéroport de l’adresse sur les bagages
• Regarder s’il n’y a pas de clé de secours sous la paillasson
• Vérifier si une fenêtre n’est pas à portée
• Vérifier si le propriétaire n’a pas oublié de verrouiller la porte de derrière
• Crocheter la serrure de la porte d’entrée. Après tout, même des serrures « haute sécurité » vendues aux banques peuvent être facilement crochetées par des professionnels
• Utiliser une scie sauteuse électrique sans fil pour faire un joli trou dans la porte
• Dans le cas d’une cible stratégique (comme une ambassade), corrompre du personnel local (pompier, plombier, etc.) afin de pouvoir voler des informations ou planter des micros
• Se faire passer pour un officier de police ou un pompier, afin d’avoir accès à la maison – parfois en invoquant un prétexte quelconque pour que le propriétaire quitte les lieux

La grande différence est que sur Internet le coût de chaque attaque est bien moindre, et que le risque est quasi-inexistant. Et le hacker peut réessayer autant de fois qu’il veut. Car il n’a besoin d’être chanceux qu’une fois. La victime, elle, doit faire échouer toutes les attaques.

Le manque de préoccupation

Un autre problème est que la sécurité est rarement au centre des préoccupations. A l’heure actuelle, toute personne travaillant sur du matériel ou logiciel étant de près ou de loin connecté à Internet devrait avoir une formation de base en cyber-sécurité. En pratique, c’est rarement le cas. Trop de logiciels ou matériels sont conçus et/ou configurés sans avoir pensé à la sécurité – même en 2015.

Car la sécurité n’est pas quelque chose qui se voit. Quelle est la probabilité que votre produit ou site Web soit piraté ? Difficile à estimer. Si tout le monde s’accorde à dire que la sécurité est important, dans les faits elle n’est pas une priorité – et ce à aucun niveau. Les dirigeants ne sont pas intéressés pour mettre les ressources nécessaires. Nombreux sont les projects qui doivent être développés le plus vite possible – si la sécurité n’est pas une priorité par la hiérarchie, elle passe à la trappe.

Dans le cas de l’Office of Personnel Management, l’organisation employait des consultants externes étrangers Argentin et Chinois. Ces consultants travaillaient depuis leur pays… et avaient accès administrateur au système ! Dans le cas de Sony, de nombreux identifiants et mots de passe étaient stockés… dans des fichiers Excel !

Pourquoi donc la sécurité n’est-elle pas une priorité ? Parce que les clients (commerciaux comme grand public) ne récompensent que trop rarement la sécurité – encore une fois parce que les conséquences sont floues. Tout le monde bien évidemment pense que la sécurité est importante. Mais trop peu font des recherches sur le sujet ni même prennent en compte ce critère lors de l’achat. Mis à part les pubs Apple PC contre Mac des années 2000, l’argument de la sécurité est rarement mis en avant car peu vendeur.

Imaginez deux logiciels : un développé à l’a-va-vite, et l’autre avec des développeurs formés à la cybersécurité qui vont tester sérieusement la sécurité de leur produit. Lequel aura le plus de succès ? Celui qui sera prêt le plus tôt ou celui qui sera un peu plus cher et arrivera plus tard sur le marché ?

Comment se protéger

Avec cela, que peut-on faire ? La liste est trop longue pour tenir dans cet article. Pour les particuliers, je donnerais cependant deux conseils :

• Avoir une solution de sauvegarde automatique solide : un nombre croissant de malware sont de type ransomware. Ils encryptent le disque dur de leurs victimes et leurs donnent à ces dernières quelques heures pour payer s’ils veulent récupérer leurs données. Avoir une solide solution de sauvegarde est utile dans ce cas-là. Il existe plusieurs services de sauvegarde en ligne qui sauvegardent automatique tous les documents qu’ils trouvent sur l’ordinateur.
• Kevin Mitnick, un ancien hacker reconverti, demande parfois aux gens s’ils seraient prêts à dépenser $200 pour améliorer la sécurité de leur ordinateur. La plupart répondent par la positive. Il leur conseille alors d’acheter un Chromebook Google, et de l’utiliser exclusivement pour accéder aux sites Web sensibles (tels que les sites bancaires) en utilisant le mode invité. Et bien évidemment de n’accéder à ces sites que par le Chromebook – on oublie l’appli du smartphone.