Chapitre 4 Espionnage industriel 133

Transcription

1 Chapitre 4 Espionnage industriel 133 Résumé de la chaîne d exploits Voici les exploits enchaînés de Phénix : 1. Il a trouvé des informations détaillées sur les spécifications techniques du logiciel utilisé par Alki pour son département R&D en visitant le site web du fabricant et en y téléchargeant de la documentation. 2. Il a utilisé une attaque peu connue mais simple sur le système de cartes d accès d Alki pour obtenir un accès à des lieux où il n aurait jamais pu entrer sinon. 3. Il a amené Linda à lui offrir un accès physique au bâtiment par ingénierie sociale. 4. Il a utilisé Nmap pour scanner le réseau d Alki et identifier le serveur de R&D en visant les ports qu il savait être utilisés par le serveur. 5. Il a aussi utilisé Nmap pour identifier le système d exploitation du précieux serveur R&D. 6. Il a visité pour identifier les failles auxquelles était vulnérable le serveur en question. 7. Il a utilisé Metasploit pour tirer avantage des informations qu il avait trouvées sur le site web de Microsoft. 8. Il a utilisé l outil de sauvegarde de Windows pour copier les données sensibles à un autre endroit. 9. Il a utilisé une simple commande de suppression pour se débarrasser de la plupart des preuves de sa présence et pour détourner l attention de l opération de vol de propriété intellectuelle qu il a effectivement menée. 10. Il a ouvert un compte Hotmail en utilisant l adresse de Linda comme adresse secondaire. 11. Il a utilisé un point d accès sans-fil et un kit de développement de virus disponible gratuitement en ligne pour lancer une attaque par déni de service sur l équipement des urgences de l hôpital.

2 134 Chaînes d exploits Mesures de prévention Cette section traite des diverses mesures que vous pouvez déployer contre cette chaîne d exploits. Mesures de prévention contre les atteintes à la sécurité physique et la compromission des systèmes d accès Trop d entreprises dépendent d une authentification à facteur unique pour permettre l accès à des zones protégées. La sécurité physique est souvent l aspect le plus négligé de la sécurité de l information. Les cartes d accès de la plupart des fabricants peuvent être clonées facilement. Beaucoup de fabricants ont légèrement amélioré cet état de fait en chiffrant les données sur la carte, mais cela ne protège que peu. Le chiffrement concerne uniquement la confidentialité des données. Si le but d un attaquant est de cloner la carte et de l utiliser en tant que moyen d accès, peu lui importe de savoir ce qu il y a sur la carte. Il faudrait donc utiliser une authentification à deux facteurs. Dans l exemple du local réseau, il aurait été plus difficile à Phénix d entrer s il avait eu à scanner ses empreintes en plus de passer la carte d accès. L attaque aurait été presque impossible avec une authentification à trois facteurs : carte d accès, empreinte digitale et code à cinq chiffres, par exemple. Les systèmes de surveillance vidéo sont obligatoires dans les entreprises aujourd hui. Ils font toujours débat en ce qui concerne les problèmes de respect de vie privée et d éthique. De nombreux employés considèrent qu on ne leur fait pas confiance lorsqu ils voient des caméras partout. Mais, avec la formation adéquate, ces objections peuvent être atténuées. En ce qui concerne les cartes d accès, de nombreuses entreprises devraient réfléchir à la stratégie d économies qui consiste à utiliser le même support pour l identification et l accès. La plupart des entreprises ont des consignes pour obliger leurs employés à avoir leur badge visible à tout instant. Si la puce RFID d accès est intégrée aux badges d identification et si ceux-ci doivent être visibles à tout instant, il est facile de les copier avec un scanner de cartes RFID. Les cartes d accès RFID devraient être placées dans un portefeuille ou un sac protégeant des rayonnements RF. On peut en acheter sur et sur bien d autres sites web. Les cartes d accès et le badge d identification peuvent aussi être indépendants. Par ailleurs, les ports inutilisés d un commutateur devraient toujours être désactivés. Si les ports doivent être activés, il est obligatoire de les sécuriser.

3 Chapitre 4 Espionnage industriel 135 Mesures de prévention contre les scans Comme la plupart des outils de scan tirent simplement avantage de la manière dont fonctionnent les protocoles réseau, se protéger contre les scans peut être délicat. Nmap commence par lancer une requête ping pour voir quels hôtes répondent et envoie un scan SYN sur les hôtes identifiés. La plupart des entreprises ont désactivé l ICMP sur le périmètre de leur réseau mais lui permettent de circuler librement à l intérieur du réseau. Il suffit d activer le pare-feu de Windows pour compliquer énormément la tâche de Nmap et d autres outils de scan. Avec un simple scan Nmap sur le réseau d Alki, Phénix a obtenu les informations qu il souhaitait. Si l ICMP avait été bloqué au niveau des hôtes, son premier scan n aurait renvoyé aucun hôte. Cela l aurait forcé à tester des variations plus complexes du scan par défaut, ce qui lui aurait pris plus de temps, voire l aurait empêché d obtenir les résultats voulus. Les outils de détection d intrusion pour clients, comme Cisco Security Agent (CSA), auraient été utiles dans ce scénario. Même sans les déployer sur tous les clients, le serveur de R&D contenant les données sensibles aurait été un candidat idéal. CSA peut détecter les scans furtifs par SYN et bien d autres scans. Si CSA avait fonctionné, les scans Nmap auraient probablement renvoyé que tous les ports étaient filtrés, ce qui aurait rendu presque impossible l identification du serveur R&D. Mesures de prévention contre l ingénierie sociale Les attaques par ingénierie sociale visent le maillon faible de tout programme de sécurité : les humains. Alki a certainement des politiques de recrutement de son personnel. Elle a probablement aussi des politiques interdisant aux personnes extérieures d avoir le moindre contact avec des données sensibles comme celles qui sont liées à la propriété industrielle. Cependant, de nombreux dirigeants outrepassent ces contrôles et ces politiques pour frimer ou, dans le cas de Linda, pour essayer d aider quelqu un qui leur est sympathique. Les commentaires de Linda quant au service informatique ont donné à Phénix des informations sur la faiblesse probable de la sécurité informatique chez Alki. Tous les employés, y compris les plus haut placés, devraient recevoir une formation de sensibilisation à la sécurité régulièrement (au moins une fois par an, de préférence deux fois par an). Avant de révéler quoi que ce soit sur leur vie personnelle ou sur leur entreprise, les employés et les dirigeants devraient s habituer à se poser systématiquement la question suivante : "Est-il vraiment nécessaire que je donne cette information me concernant ou concernant mon entreprise?" Si ce n est pas nécessaire, ne donnez aucune information.

4 136 Chaînes d exploits Mesures de prévention contre les attaques sur les systèmes d exploitation Phénix a pu utiliser Metasploit pour accéder au serveur du département R&D en moins de trente secondes pour une seule raison : le serveur n était pas à jour des derniers correctifs de sécurité et Service Packs. Il est courant pour les entreprises de retarder les mises à jour et les correctifs pour des raisons de compatibilité avec des logiciels (internes ou non). Dans le cas d Alki, le service informatique aurait dû faire pression sur le fabricant du logiciel de R&D qui les obligeait à supprimer le Service Pack 1 et tous les correctifs de sécurité pour Windows 2003 Server. Si une entreprise est compromise à cause d une application incapable de fonctionner avec les mises à jour de sécurité, l application doit être corrigée ou bien il faut sérieusement envisager son remplacement. Dans la plupart des entreprises, les fonctionnalités et la facilité d utilisation l emportent largement sur la sécurité. Tant que cela sera la norme et que les fabricants d applications tierces ne seront pas obligés de suivre, ils ne le feront pas. En un mot, mettez à jour vos ordinateurs avec les derniers Service Packs et correctifs. Si Alki avait suivi ce conseil, Phénix aurait probablement pu trouver une vulnérabilité dans Windows, développer un exploit pour cette vulnérabilité, tester cet exploit et l utiliser contre l entreprise, ce qui lui aurait probablement pris des mois. Mais comme Alki n était pas à jour quant aux Service Packs et mises à jour de sécurité, Phénix a pu utiliser un exploit disponible publiquement pour tirer avantage d une vulnérabilité connue. Mesures de prévention contre le vol de données Le chiffrement a été plus largement conseillé ces deux dernières années qu il ne l avait jamais été. Les gros titres sont remplis d histoires de données confidentielles perdues à la suite d un portable volé, d une clé USB perdue ou d un système compromis. Si Alki avait utilisé un système aussi simple que Windows EFS (Encrypting File System, un système de fichiers chiffré) sur le serveur R&D, les données copiées par Phénix (s il avait même pu les copier) auraient été inutiles à M. Dobbs. Il aurait également eu plus de mal à supprimer le contenu du serveur. De nombreuses entreprises échouent à la mise en place du chiffrement car celui-ci est considéré comme compliqué et mystérieux. Souvent, les entreprises commencent à mettre en œuvre du chiffrement, rencontrent des problèmes opérationnels ou de facilité d utilisation et retardent, voire abandonnent le projet. Alki a beau être une entreprise cotée en bourse, elle travaille sans aucune forme de chiffrement (du moins au département R&D). Généralement, les mesures législatives s intéressent plutôt à la protection des données personnelles ou confidentielles et financières. Le plus triste est que certaines entreprises ont intégré les

5 Chapitre 4 Espionnage industriel 137 amendes de non-conformité à ce type de législation à leurs coûts de fonctionnement. Lorsque cela arrive, l efficacité de ce type de mesure diminue considérablement. Conclusion L espionnage industriel est toujours une affaire rentable. Lorsque l économie est, comme de nos jours, un amas de confusion et d incertitude, l avantage obtenu grâce à des "informations concurrentielles" peut faire la différence entre la survie et la mort d une entreprise. Nous ne sommes plus à une époque où le travail acharné paie systématiquement. Nous vivons dans un monde où l information est notre bien le plus précieux. L espionnage industriel n est plus une affaire complexe et ne nécessite pas forcément de compétences très évoluées. Il existe des outils pour tout automatiser, de l ingénierie sociale à l attaque d un système d exploitation. Avec le nombre grandissant de vulnérabilités et la baisse du niveau de compétences nécessaires, l espionnage industriel a de beaux jours devant lui. Certaines attaques seront bruyantes et feront la couverture des médias, d autres seront silencieuses mais seront d une efficacité redoutable.