Travail de session Article de magazine La sécurité ne vient pas dans une boîte! Présenté à M. Jean-Pierre Fortier

Transcription

1 Travail de session Article de magazine La sécurité ne vient pas dans une boîte! Présenté à M. Jean-Pierre Fortier Préparé par Dominic Couture Cindy Rousseau Dans le cadre du cours SIO-2102 Z1 Sécurité, contrôle et gestion du risque Faculté des sciences de l administration Hiver

2 Table des matières La sécurité ne vient pas dans une boîte!... 3 Pourquoi les logiciels ne sont-ils pas suffisants?... 4 La sécurité physique... 4 Les logiciels ne réfléchissent pas avant d'agir... 6 Les besoins changent... 6 Qu'est-ce qu'il faut en plus des logiciels... 8 Une politique de sécurité, plus qu un bout de papier!... 8 Aspect humain... 8 Aspect technique... 9 Personne n est totalement à l'abri d une attaque! Conclusion Références bibliographiques Livres Articles de périodique Sites web

3 La sécurité ne vient pas dans une boîte! La sécurité de l'information est un enjeu de plus en plus reconnu et est devenue une préoccupation dans la presque totalité des entreprises et des foyers. Par contre, si les technologies de sécurité évoluent, celles de piratages se perfectionnent aussi. Ainsi, il importe de réaliser que la sécurité ne vient pas dans une boîte et qu'il faut plus qu'un logiciel de sécurité pour assurer la sécurité de l'information. Dans cet article, nous verrons pourquoi les logiciels ne sont pas suffisants. Nous traiterons de la sécurité physique de nos appareils électroniques, du fait que les logiciels ne réfléchissent pas comme un individu le ferait et que les besoins, comme les vulnérabilités, changent rapidement. Par la suite, nous discuterons de l importance d une bonne politique de sécurité pour assurer la sécurité de l'information. Enfin, nous présenterons quelques exemples éloquents ou les logiciels de sécurité n'ont pas été suffisants pour assurer la sécurité. 3

4 Pourquoi les logiciels ne sont-ils pas suffisants? «If you think technology can solve your security problems, then you don t understand the problems and you don t understand the technology.» (Bruche Schneier, 2004, préface) Comme monsieur Schneier l a si bien dit, nous croyons qu un logiciel, aussi dispendieux ou sophistiqué soit-il, ne remplacera jamais une bonne politique de sécurité, entre autres, parce que les logiciels de sécurité laissent de côté plusieurs aspects de la sécurité. En voici quelques exemples. La sécurité physique La sécurité physique est un aspect crucial de la sécurité et c est de plus en plus vrai avec la prolifération des technologies mobiles. L idée est simple, si le pirate a votre portable entre les mains, il peut tranquillement désinstaller tous les logiciels de protection qui y sont installés. Tout le contenu est alors accessible à une personne non autorisée, ce qui représente une menace grave pour la confidentialité et l intégrité des données de l organisation. «If someone really wants to get at the information, it is not difficult if they can gain physical access to the computer or hard drive. - MICROSOFT WHITE PAPER, JULY 1999» (2012, p.397) Bien sur, votre appareil portable sera probablement muni d un mot de passe, mais si l appareil est entre ses mains, le voleur pourra trouver le mot de passe par force brute; c'est-à-dire qu il utilisera un logiciel qui essaye successivement tous les mots de passe jusqu à ce qu il trouve le bon. De plus, une fois entré dans votre ordinateur, l'intrus aura accès à toutes vos connexions automatiques (identifiant/mot de passe déjà entré) vers des services de la compagnie. Par ailleurs, il est possible de contourner cette menace en utilisant ce que l on appelle le «chiffrement total du disque» 1 sur les appareils mobiles. Ce logiciel permet de chiffrer tout le contenu d un disque dur, le rendant illisible sans sa clé de déchiffrement, et ce, même si le 1 full disk encryption 4

5 disque dur est enlevé et mis dans un autre ordinateur. Dans ce cas, même si le portable est volé, l information qu il contient reste protégée. Toutefois, une attaque par force brute reste envisageable et si cela ne fonctionne pas, le pirate pourra également exploiter une vulnérabilité du système, ou encore utiliser une technique plus sophistiquée comme un cold boot attack 2. Dans tous les cas, on peut dire qu un appareil volé compromet la sécurité de l information. De plus, il ne faut pas négliger que le chiffrement réduit également l accessibilité pour un utilisateur autorisé. En effet, cela implique d entrer un mot de passe (de s en souvenir!) et d attendre le déchiffrement. Une vulnérabilité additionnelle, à laquelle les très grandes entreprises et institutions doivent porter une attention particulière, est la possibilité que le pirate puisse entrer dans le bâtiment et se connecter sur le réseau avec son propre ordinateur sans que cela soit perçu comme un comportement louche. Prenons, par exemple, un établissement gouvernemental avec un réseau sans fil ouvert ou bien une université. On ne peut absolument pas faire confiance aveugle aux IDS 3 et autres logiciels de sécurité. Une politique stricte de gestion des droits des utilisateurs et des configurations par défaut est nécessaire, afin d éviter de dévoiler tout notre réseau à qui veut bien s y connecter. Il faut également faire attention à ne pas laisser le matériel réseau (routeur, points d accès, concentrateurs, commutateurs) accessible. Un simple reset pourrait tout faire tomber. Parfois, l accès à une prise de courant et une prise Ethernet 4 murale est tout ce qui est nécessaire pour qu un pirate compromette un réseau. En effet, tel que vu dans un article de SÉCUS en mai 2011, il existe un appareil nommé Pwn Plug qui est «un dispositif qui se branche dans une prise d alimentation (plug) et qui sert à attaquer, à infiltrer et à posséder des systèmes et des réseaux informatiques» (Michel Cusin, 2011, p.15). Si on réussit à le brancher 2 Cette attaque profite du fait que le contenu de la mémoire vive ne disparaît pas immédiatement après que l alimentation ait été coupée. Un pirate avec plus de moyens utilisera de l azote liquide pour refroidir la mémoire afin de prolonger sa durée de vie. On peut ensuite la brancher dans un autre appareil pour en extraire le contenu. Voir pour plus d informations. 3 Description 4 Prise standard pour une connexion réseau avec fil. 5

6 discrètement sur le réseau (par exemple en le mettant derrière une imprimante publique), le Pwn Plug communiquera ensuite avec la machine désignée via l internet ou même mieux, via les réseaux cellulaires, puisqu ils ne seront évidemment pas filtrés par la compagnie. Le Pwn Plug est configuré pour ne pas répondre aux requêtes, ce qui la rend pratiquement invisible sur le réseau, et elle déguise son trafic sortant en communication Internet régulière. Ceci illustre un type d attaque qui n est pas détectable par les logiciels de sécurité et montre qu il est très important d avoir du personnel vigilant qui sera à l'affût du matériel ajouté sans consultation. Les logiciels ne réfléchissent pas avant d'agir Un autre argument important, les pare-feu et les IDS agissent selon des règles strictes établies à la configuration du logiciel. Par contre, la sécurité est une question d adaptation et de réponse rapide aux menaces. Cela fait que, bien souvent, la réponse du logiciel n est pas bien adaptée à la menace. De plus, malgré des mises à jour, les logiciels ne pourront jamais prévoir tous les cas. Pour ce qui est des logiciels pare-feu (firewall), tout dépend de leur configuration. Dans certains cas, on bloquera plus que nécessaire, tandis que dans d autres, on ouvre grand la porte aux intrusions. En effet, si lors de la configuration, on décide de bloquer un certain port 5, car il ne «devrait» pas servir, on vient peut-être de bloquer un logiciel qui ne sert que pour un client ou pour un employé avec un besoin spécial. À l'opposé, si on laisse un certain port ouvert en tout temps, au cas où il serait peut-être utile un jour, nous avons une porte ouverte qui ne sert pas la majorité du temps et un pirate pourrait tenter de trouver des failles dans les logiciels qui écoutent sur ce port. Les besoins changent Non seulement les logiciels ne s adaptent pas selon les situations, mais, en plus, les besoins évoluent. Voici une situation classique en entreprise : 5 Un port est comme une porte par laquelle l ordinateur envoie et reçoit des communications. Toutes les communications sont bloquées si la porte est fermée. 6

7 L organisation utilisait, il y a deux ans, un logiciel qui communiquait sur un port en particulier, par exemple, une vielle version d'«exchange», mais depuis, elle a changé de technologie et remplacé «Exchange» par la nouvelle version «Outlook Web Access» et maintenant le vieux logiciel ne servent plus à personne. Par contre, ce logiciel fonctionne toujours sur un serveur quelque part, sans que personne ne s en occupe et rien n'a été changé sur le pare-feu. Ce genre de situation arrive très fréquemment, puisque, bien souvent, on ne fait pas de ménage avant de manquer d espace, du moins, lorsqu il n y a pas une équipe de TI au sein de l organisation. C'est une faille dans la sécurité de l organisation, car un pirate pourrait tenter, par plusieurs façons, de trouver une vulnérabilité dans ce logiciel. De plus, comme le logiciel n est plus utilisé, il y a moins de risques qu un utilisateur rapporte des problèmes de fonctionnement ou de lenteur quelconque! 7

8 Qu'est-ce qu'il faut en plus des logiciels Une politique de sécurité, plus qu un bout de papier! Un élément essentiel pour la protection des informations d une organisation est une politique de sécurité. Cette politique touchera à tous les aspects de la sécurité et inclura l utilisation de logiciel de sécurité, mais sans s y limiter! Selon une statistique de 2002, neuf grandes compagnies et agences gouvernementales sur dix ont été attaquées par des pirates informatiques (Kevin D. Mitnick, 2002, p.245), alors on ne peut plus croire que cela n arrive qu aux autres et une politique est le meilleur moyen de s y préparer. Aspect humain Pour avoir un impact significatif sur la sécurité de l organisation, la politique de sécurité doit respecter certains critères. Tout d abord, elle doit être connue des employés. En effet, un excellent document de sécurité, qui prend la poussière sur une étagère et dont personne ne connaît l'existence ne sera d aucune utilité. De plus, une fois la politique connue, elle devra être comprise, respectée et appliquée à tout moment. Cette politique proposera les meilleures pratiques en matière de sécurité et des façons de les appliquer au jour le jour. Par exemple, la politique de sécurité abordera la gestion des mots de passe. En plus de prohiber certaines pratiques, comme les mots de passe communs à tous ou ceux écrits sur un «post-it» bien en vue sur le bureau, la politique de sécurité proposera des normes de mot de passe fort; par exemple : majuscule, minuscule, lettre, chiffre et caractère spéciaux obligatoires dans chaque mot de passe. Elle demandera aussi à l utilisateur de changer son mot de passe fréquemment, par exemple chaque mois. Ainsi, on rend caduque toute tentative d attaque par force brute, puisque le mot de passe aura changé avant même que le pirate ait réussi à le découvrir, particulièrement s il s agit d un mot de passe fort. Toutefois, il est important de considérer que, par nature, la plupart des êtres humains vont choisir la facilité. Par exemple, écrire le mot de passe plutôt que de s en rappeler ou encore reporter à demain la modification du mot de passe. Pour éviter cela, la politique de sécurité 8

9 doit parfois prévoir des moyens d imposer les meilleures pratiques aux employés de l organisation. En effet, chaque poste peut être muni d un dispositif qui empêche l usager de faire quoi que ce soit avant qu il ait modifié son mot de passe. De plus, il y aura un filtre qui refusera les mots de passe trop faciles à deviner et exigera un mot de passe fort. On veillera également à ce que l utilisateur ne puisse pas lui-même modifier ses paramètres de sécurité; seul le responsable des TI pourra le faire. Par ailleurs, il faut être conscient qu il est impossible de tout contrôler. C est pourquoi il est essentiel de faire régulièrement de la sensibilisation et de l'éducation en matière de sécurité. Si toute l équipe est consciente des menaces et des comportements à éviter et qu elle comprend l importance de respecter la politique de sécurité, elle travaillera dans le même sens que l équipe de TI plutôt que de lui compliquer la tâche. Aspect technique Les politiques de sécurité concernent aussi les machines. En effet, il faut prévoir toutes sortes de mécanismes de protection. Par exemple, on utilisera des logiciels de sécurité et des parefeu. Par contre, il y a plus! Il faut prévoir un système de sauvegarde (backup) automatique des informations de l organisation. Plus les informations sont importantes, plus les sauvegardes seront fréquentes. Une autre forme de sauvegarde envisageable est un système de redondance. Ce type de système a toujours un programme principal et une copie qui fonctionnent en parallèle. Si le programme principal a un problème, la copie prend automatiquement le relais et ainsi il n y a aucune perte d information. Par ailleurs, l utilisateur ne se rend même pas compte du bris et il peut continuer à travailler. Pendant ce temps, l équipe des TI peut effectuer un remplacement ou une réparation sans même un arrêt de service. 6 Une bonne politique de sécurité prévoira également un plan de recouvrement. Le plan de recouvrement pourrait être décrit comme un plan B. Dans cette section de la politique, on 6 Voir les systèmes RAID. 9

10 donnera la marche à suivre si diverses situations se présentent. Par exemple, si l organisation éprouve des problèmes avec l alimentation électrique, le plan de recouvrement pourrait être l utilisation d une génératrice. Pour un dégât d eau ou un incendie, on pourra prévoir un autre local ou installer temporairement l organisation ou encore un partenariat avec une organisation qui possède environ le même équipement et qui pourra nous dépanner temporairement. Le but du plan de recouvrement étant de permettre à l organisation de poursuivre ses activités le plus normalement possible, peu importe ce qui arrive. Il sera également important de prévoir des mises à jour fréquentes des logiciels, mais aussi des politiques de sécurité. En effet, comme la sécurité est un domaine en constante évolution, il importe de modifier les politiques en conséquence. Bref, la politique de sécurité est un outil essentiel pour assurer la sécurité de l information dans les organisations. Elle est très efficace, puisqu elle touche à tous les domaines de la sécurité de l information. Personne n est totalement à l'abri d une attaque! La sécurité informatique s apparente aux cadenas de vélos; premièrement, un vélo sans aucun cadenas a plus de chance de se faire voler qu un vélo protégé. Par la suite, il s agit d avoir un cadenas assez gros pour décourager les éventuels agresseurs, mais il faut garder en tête qu il y aura toujours moyens de couper le cadenas, même plus imposant d entre eux, si on veut vraiment le vélo. De façon générale, un gros cadenas fournit une sécurité suffisante, mais si on commence à provoquer un groupe dont la spécialité est de briser les cadenas et qu on le met au défi de parvenir à le briser, il faut s attendre à être attaqué et probablement à vivre quelques difficultés. C est exactement ce qui est arrivé à la firme de sécurité informatique américaine HBGary, au début de l année

11 HBGary est une firme qui «fourni des outils et des services pour servir le gouvernement américain et les corporations qui doivent protéger des actifs et des informations du cyberespionnage et du cyberterrorisme international et domestique»(hbgary.com, 2011, page web 7 ) En janvier 2011, Aaron Barr, chef de la direction de HBGary, était sur une bonne piste pour épingler certains membres du groupe de pirates Anonymous (Nate Anderson, 2011, page web 8 ). Il a pris la décision d en parler publiquement, apparemment dans le but de se faire connaître et d obtenir des contrats avec le FBI, et cela n a pas plut au groupe de pirates. Dans les jours qui ont suivi, des membres du groupe Anonymous ont trouvé une faille dans le CMS 9 conçu spécialement pour HBGary et ils ont exploité une vulnérabilité qui leur a permis d obtenir des informations qui auraient dû rester confidentielles. Plus précisément, le groupe a mis la main sur la liste des usagers, leur adresse de courriel et toutes les informations nécessaires pour obtenir leurs mots de passe (Peter Bright, 2011, page web 10 ). Une fois ces informations obtenues, les pirates ont pratiqué de l ingénierie sociale en prétendant être Aaron Barr pour soutirer le reste des informations dont ils avaient besoin. Le résultat, selon le groupe Anonymous, est que courriels confidentiels ont été rendus publics. De plus, plusieurs données ont été effacées, dont, entre autres, un To 11 de données sauvegardées et le disque dur du ipad personnel de M. Barr. Au-delà des données perdues, cette démonstration des pirates a eu un impact bien plus grand. En effet, la compagnie a perdu beaucoup de crédibilité, tout simplement parce qu elle a été trop confiante en ses moyens. Cet épisode devrait servir d exemple à toutes les entreprises, en leur rappelant que même lorsque nous possédons le meilleur personnel disponible en sécurité de l information et que Content management system, système qui sert à facilité la gestion du contenu d un site web To (Teraoctet) = 1024 Go (Gigaoctet) 11

12 nous sommes très vigilants, rien n est jamais protégé à 100% et qu il y aura toujours quelqu un pour couper notre cadenas. «Know more than you say, and be more skillful than you let on. Don t try to impress users, managers, and other nontechnical people with your level of knowledge and experience. One day you just might run into a Jedi master of information security who puts you in your place». (2012, p.492) Conclusion En conclusion, il apparaît clair que la sécurité ne vient pas dans une boîte! Pour être réellement bien protégée, une organisation doit se doter de personnel compétent en TI et d une solide politique de sécurité. Toutefois, il ne faut pas perdre de vue que malgré toutes les précautions, on ne peut jamais assurer à 100% la sécurité de l information. Avec l'essor rapide des TI dans tous les domaines et la tendance actuelle en matière d affaires électroniques, on peut être certain d une chose, ce n est pas prochainement que la sécurité de l information cessera d être une priorité pour la plupart des organisations. 12

13 Références bibliographiques Livres D. Mitnick, K. et L. Simon, W. (2002). The Art of Deception. New Jersey : John Wiley & Sons, p. 245 E. Whitman, M. et J. Mattord, H. (2012). Principles of Information Security. Boston : Course Technology, p. 397, 492 Schneier B. (2004). Secrets and Lies: Digital Security in a Networked World. Indianapolis : Wiley Publishing, Inc., page non numérotée (préface) Articles de périodique Cusin, M. (2011). Pwn plug: arme fatale. Sécus, 3 (2), p. 15 Sites web Ars Technica. (Page consultée le 4 avril 2012). How one man tracked down Anonymous and paid a heavy price. Ars Technica. (Page consultée le 6 avril 2012). Anonymous speaks: the inside story of the HBGary hack. HBGary. (Page consultée le 4 avril 2012). HBGary :: Company. 13