Système informatique : les failles subsistent
Questions sécurité – des progrès… toujours insuffisants !
Nous vous avons récemment proposé quelques conseils sur la gestion de votre identité numérique, nous allons voir ici que les problèmes de sécurité sont encore trop souvent sous-estimés. Heureusement il existe quelques solutions simples et efficaces. Tour d’horizon des nouveautés technologiques pour votre sécurité informatique.
Quels sont les dernières menaces ?
“Sauron, le logiciel qui voit tout !” Les sociétés de sécurité informatique Symantec et Kaspersky ont annoncé le 10 Août dernier la découverte du cheval de troie le plus sophistiqué jamais mis à jour. Ce nouveau logiciel espion, impressionnant par son fonctionnement, était jusqu’à l’année dernière passé inaperçu. Ce virus permet à son ou ses créateur(s) de savoir tout ce qui se passe sur l’ordinateur infecté. Sa complexité permet d’estimer qu’il a été probablement développé ou commandé par un Etat. Le plus impressionnant est la façon qu’a ce logiciel espion de se modeler selon l’ordinateur sur lequel il est installé. Et c’est surement pour cela qu’il n’a été découvert qu’il y a un an. Les modèles de détection des antivirus recherchent généralement dans votre poste des lignes de code préalablement identifiées, ici le logiciel est capable de se cacher dans des fichiers en apparence classiques et de ne s’exécuter qu’en mémoire plutôt que sur le disque dur. Remsec, autre nom qui lui a été attribué, est une véritable plateforme de cyber-espionnage puisque différents modules peuvent lui être ajoutés ou enlevés en fonction de sa cible. Il est également capable d’exfiltrer les données à travers différents réseaux pour ne pas se faire remarquer. Bref une véritable prouesse qui démontre à quel point la sécurité informatique a encore de beaux jours devant elle. Vous n’avez à priori pas grand chose à craindre de ce logiciel puisqu’il a jusqu’ici été utilisé pour obtenir des informations sensibles et confidentielles d’entités étatiques comme des gouvernements, de la recherche scientifique, des infrastructures militaires ou des opérateurs télécoms.
Par contre, il existe de nombreux virus et méthodes pour lesquels vous devez vous méfier, et plus particulièrement d’une technique qui a pris énormément d’ampleur ces dernières années : le Ransomware !
“Un ransomware, rançongiciel ou logiciel de rançon est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer” Source Wikipedia
Il faut savoir que cette technique est en pleine effervescence depuis les années 2006 et que les logiciels pour s’en prémunir sont peu nombreux et qu’ils ne fonctionnent pas à tous les coups. L’info insolite est la guerre entre hackers qui se joue en ce moment. En effet, un groupe a publié récemment 3500 clés de chiffrement d’un logiciel de rançon concurrent au leur. Enfin, il est important de noter que les grands groupes ne sont plus les seules cibles de ces attaques mais que des entreprises de toutes tailles peuvent désormais être visées (Hôpitaux, petits commerces, particuliers…). Malheureusement, une fois le logiciel installé sur votre machine il est presque impossible de s’en débarrasser, alors le meilleur moyen de s’en prémunir est de suivre ses 10 conseils pour pour ne pas être infecté de la société Bitdefender.
Comment se prémunir des attaques
Le plus efficace reste avant tout la prévention. En effet, les mots de passe, les mises à jours de vos logiciels, l’installation d’un antivirus sont des gestes relativement simples mais qui permettent de se protéger d’un grand nombre de menaces.
Il est impressionnant de voir que même les patrons de Facebook, Twitter et Google se sont fait pirater leurs comptes sur les réseaux sociaux par des White Hats, du nom de OurMine Security ! Impressionnant ? Pas tant que ça, les pirates ont simplement profité que Mark Zuckerberg utilisait le même mot de passe que sur LinkedIn, dont les bases de données ont été hackées en 2012 et mise en vente récemment. Plus récemment se sont Sundar Pichai (Google) et Jack Dorsey (Twitter) qui ont été la cible des pirates. Ceux-ci ont profité des accès permis à des applications tierces pour prendre le contrôle de leurs comptes.
Vous ne comprenez pas toujours pourquoi il est demandé l’accès à vos données lorsque vous vous connectez avec vos comptes de réseaux sociaux sur certains sites ? Tout simplement parce qu’ils n’ont pas été développés par ces mêmes réseaux sociaux. En autorisant l’accès à des applications tierces, vous leur permettez de récupérer des informations sur vous et leur octroyez parfois le droit de publier à votre place. Ces applications tierces peuvent présenter des failles de sécurité que les pirates exploitent pour accéder à vos comptes sur les réseaux sociaux. Ces autorisations peuvent facilement être révoquées, il suffit d’aller dans les paramètres et de faire un petit nettoyage régulièrement des applications que vous n’utilisez plus. (Voici les liens pour les principaux : Twitter, Facebook, Instagram, Pinterest onglet Application, LinkedIn)
Applications de gestion de mots de passe
La gestion des mots de passe est souvent un casse tête : il faut qu’ils soient uniques pour chaque site, suffisamment longs et complexes, mais surtout mémorisables ! Plusieurs tentatives pour répondre à ce problème ont été initiées par les grands groupes informatiques, comme l’utilisation de l’empreinte digitale, pour la plus utilisée, à la biométrie avec la reconnaissance faciale, de l’oeil, voir carrément de l’ADN. Mais il n’existe pas de solution miracle et il existera toujours des parades à ces systèmes de plus en plus complexes.
Pour gérer ses mots de passe, il est possible d’utiliser les fonctionnalités déjà existantes ou modulaires des navigateurs qui retiendront pour vous vos informations sensibles comme vos numéros de carte bancaire, mots de passe, nom d’utilisateur… Toutefois, le niveau sécurité n’est pas forcément optimal. A noter également qu’en cas de casse de vos appareils, ordinateur/tablette/smartphone, vous risquez de les perdre. Autrement, un certain nombre de logiciels disponibles en version freemium (gratuite de base mais aux options payantes) permettent de stocker vos mots de passe, d’en générer de nouveaux, plus sécurisés, et sont disponibles généralement sur Smartphone et en ligne, en plus de versions PC. Vous pourrez trouver pas mal d’études comparatives des trois plus connus sur internet (Dashlane, LastPass, KeePass).
Enfin, le bon vieux papier-crayon ! Avec la multiplication des banques de mots de passe piratées ces dernières années, c’est à se demander s’il ne vaudrait pas mieux repasser à la bonne vieille méthode. On ne vous recommandera pas ici d’utiliser cette technique puisqu’elle n’est pas la meilleure solution, toutefois il existe quelques moyens mnémotechniques pour créer et retenir vos mots de passe comme d’utiliser les initiales d’une phrase pour construire un mot de passe (sans oublier l’ajout de chiffres, de symboles, de minuscules et de majuscules pour une sécurité optimale). Et faut-il le rappeler, cessez d’utiliser les horribles “123456”, “azerty” ou “password” : se sont les premiers mots de passe qui seront testés pour prendre le contrôle vos comptes.
BYOD ou Bring Your Own Device
Le BYOD est une pratique qui n’est pas nouvelle mais qui prend une nouvelle dimension à mesure de l’évolution des usages technologiques et des méthodes managériales. En français, on pourrait traduire ce terme par “apportez vos appareils personnels”, ou retranscrit moins stylistiquement en PAP (Prenez vos Appareils Personnels) et AVEC (Apportez Votre Equipement personnel de Communication). Généralement considérée comme un risque par l’entreprise, cette pratique engendre en effet des problèmes de sécurité puisque les organisations perdent le contrôle sur les échanges d’informations, sans parler des questions légales et sociales.
Avec le développement du recours aux indépendants, du télétravail ou encore de la flexibilité offerte par les nouvelles technologies (Cloud, SAAS, IAAS), ce sujet ouvre des préoccupations sur lesquelles les chefs d’entreprise doivent se challenger. La problématique des mots de passe en devient d’autant plus cruciale que les techniques des pirates passent souvent par le ciblage des employés à des postes moins stratégiques, plus vulnérables et susceptibles d’ouvrir un e-mail piégé sur leur ordinateur portable par exemple. L’utilisation de ces appareils personnels ne répond généralement pas aux mêmes niveaux de sécurité que les technologies professionnelles. Par exemple, l’absence de chiffrement des données peut être critique lors de l’utilisation de réseau Wifi public.
En effet, avec le déploiement des bornes de wifi gratuites dans les aéroports, les gares ou les cafés, les managers en déplacement doivent être d’autant plus attentifs aux questions de sécurité. Le chiffrement des échanges est une solution mais pas la seule, référez vous à des experts en matières de sécurité qui sauront vous guider dans vos démarches.
Ubérisation de la sécurité informatique
Si il y a bien un secteur dont on n’imaginait pas l’Ubérisation, c’est celui de la sécurité informatique ! Dans la prévention de votre sécurité informatique, il existe de nouveaux acteurs qui proposent des solutions beaucoup plus intéressantes que de faire appel aux SSII. En plus, elles permettent de mesurer plus facilement un ROI : les plateformes de Bug Bounty.
Les cybercriminels sont devenus légions parce que les failles de sécurités peuvent leur rapporter beaucoup d’argent. Pour distinguer les gentils des méchants hackers, on utilise communément le dualisme des Black Hats et White Hats, même s’il caractérise très mal les différents profils que l’on peut retrouver chez les hackers. Pour vulgariser, les premiers ont pour vocation de profiter des failles de sécurité pour s’enrichir ou nuire à une entité ou un groupe, lorsque les seconds sont plus à même de faire preuve d’une forme d’éthique. Les entreprises avaient comme possibilités jusqu’ici, dans la prévention des risques de sécurité, de faire appel aux SSII pour des audits de sécurité. Elles pouvaient sinon se tourner vers les White Hats pour des ‘Pentesting’ (rémunération des hackers lorsqu’une faille est découverte) pour se prémunir de problèmes informatiques.
Jusqu’ici le Bug Bounty était une pratique initiée par chaque entreprise et popularisée par les grands groupes américains comme Google ou Facebook. A travers un système de rémunération, ces entreprises récompensent les personnes rapportant des bugs ou des failles dans leur système de sécurité. Le phénomène prend une autre ampleur avec l’apparition de plateformes qui permettent aux ETI, PME et TPE d’externaliser les programmes de recherches de vulnérabilité. Ainsi, les entreprises ne payent que lorsqu’une faille a été identifiée. Cela permet également de réduire les risques liés aux attaques des hackers puisqu’ils pourront trouver un nouvel intérêt financier à les révéler. Si la rémunération est attrayante, ils auront donc tout intérêt à prévenir les sociétés plutôt que d’en profiter pour revendre des informations sensibles ou des failles de sécurités. Si l’on osait, on dirait que les Black Hats vont à leur tour être hackés sur leur modèle économique par l’émergence de ces plateformes.
Ce modèle se rapproche de celui d’Uber à la différence près que des questions légales et de propriété intellectuelle entrent en ligne de compte. Ainsi, sans doute aucune plateforme ne pourra s’imposer (stratégie du Winner-takes-it-all) sur tous les marchés lorsque l’on comprend les enjeux économiques liés à la sécurité et surtout à l’espionnage industriel. Pour exemple, la NSA a largement espionné la plupart des grandes entreprises Européennes, et ce grâce à des dispositions législatives Américaines. Les entreprises Européennes et même Françaises auront donc tout intérêt à faire appel à des plateformes de Bug Bounties Françaises par exemple pour que l’identification de failles reste confidentielle au sein de serveurs hébergés en France et répondant aux règles Françaises en matière de données informatiques sensibles. Et si vous souhaitez tout comprendre sur le Bug Bounty et leurs aspects économiques, vous pouvez lire l’article très complet de Fabrice Epelboin sur FrenchWeb.
L’avenir est dans la Blockchain
La Blockchain est probablement le SEUL système de cryptographie réputé inviolable et privé aujourd’hui. Issus de la nécessité d’un système sécurisé d’échange pour la monnaie virtuelle Bitcoin, ce système révolutionnaire va probablement permettre de remplacer de nombreux intermédiaires jouant le rôle de tiers de confiance dans de nombreux secteurs et domaines, à commencer par la finance. Pour comprendre son fonctionnement voici une petite vidéo de 3 minutes qui explique son fonctionnement.
Certains estiment que l’utilisation de la Blockchain dans la sécurisation des échanges d’informations permettrait de construire un internet de la transaction totalement sécurisé. Dans tous les cas, cette nouvelle technologie n’en est qu’à ses prémices et comme au début d’internet, elle mettra du temps et nécessitera des évolutions technologiques importantes (calculateurs quantiques notamment) avant de s’imposer et de démontrer toute sa puissance. Aujourd’hui le monde de la finance est en émoi, c’est l’un des secteurs qui a le plus à perdre/gagner (selon les points de vue) et le Bitcoin est une application déjà concrète de la puissance de Blockchain-isation (à rapporter à l’Ubérisation). La sécurité informatique a peut être trouvé son Saint Graal/sauveur dans cette technologie, seul l’avenir nous le dira.