Cyber Interview: Les clés pour renforcer la sécurité à la conception
Lors d’une précédente interview abordant les enjeux de sécurité à la conception et des objets connectés, Julien Patriarca, Directeur des Services Professionnels chez WALLIX et acteur cyber depuis plus de 10 ans abordait la question de responsabilité vis-à-vis de la sécurité.
Cette deuxième interview donne des pistes concrètes à l’implémentation des bonnes pratiques liées à sécurité à la conception.
Pour quelles raisons faisons-nous abstraction de la sécurité à la conception ?
Est-ce un choix, ou sous estimons-nous la sécurité ?
Le manque de sensibilisation et d’éducation des utilisateurs finaux est l’un des défis phares de la sécurité à la conception
« Je n’ai pas envie de retenir le mot de passe. »
« Je n’ai rien à cacher, qu’est-ce qu’un hacker viendrait chercher chez moi ? »
Je n’ai rien à cacher, qu’est-ce qu’un hacker viendrait faire chez moi ?
Les individus ont souvent peu de recul sur l’échelle et l’impact d’un piratage. Il ne s’agit pas d’un simple vol de données. L’attaque massive de Dyn, un fournisseur de services DNS, où des pirates ont exploité la faiblesse de la sécurité des caméras connectées pour attaquer par brute force l’entreprise américaine mettant à genoux des sites comme Twitter ou Reddit en est la preuve. Cet incident démontre l’ampleur de l’impact qu’un manque de sécurité à la conception peut engendrer. Pourtant, il est important de souligner que ce type d’attaque aurait pu avoir des répercussions allant bien au-delà de l’arrêt momentané de l’internet mondial, avait-il ciblé des organisations étatiques par exemple.
Il est facile d’imaginer un scénario où des pirates informatiques exploitent une vulnérabilité dans les caméras connectées pour lancer une attaque sur le service qui héberge le site des impôts la veille de la date du dernier tiers. Les caméras faiblement protégées avec des identifiants comme admin/password sont alors prises pour cibles pour perturber le processus de déclaration. Si un tel scénario venait à se produire, il est fort possible que les utilisateurs ne prendraient pas conscience de leur responsabilité dans cette attaque et accuseraient seulement l’organisme des impôts d’un manque de sécurité.
Encore une fois, il y a une vraie notion d’éducation à mettre en place pour sensibiliser les utilisateurs au fait que la sécurité à la conception et le maintien de cette sécurité est aussi important que l’usage du produit ou du logiciel.
La sécurité à la conception est aussi importante que l’usage du produit ou du logiciel.
Comment peut-on pallier ce manque de sécurité ?
Aujourd’hui, les cyber-attaques sont médiatisées ce qui contribue à la sensibilisation des utilisateurs. Une personne qui ne travaille pas dans l’IT peut regarder le journal de 20h et prendre conscience de l’impact qu’un manque de cybersécurité peut avoir dans son environnement de manière très concrète. Le fait de vulgariser les pratiques informatiques pour relayer des événements comme les cyber-attaques engage les individus qui prennent de plus en plus conscience du risque lié au numérique et aux objets connectés, et échangent sur ce sujet avec leur entourage.
Ils peuvent donc plus facilement réaliser l’impact de leurs propres pratiques dans la sécurisation des objets qu’ils utilisent et devenir acteurs pour renforcer la sécurité à la conception.
1. Renforcer et complexifier les mots de passe
Un mot de passe complexe vous garantit une protection contre les attaques par brute force à 90%
Pourquoi ? Le plus souvent, une cyber-attaque fonctionne par dictionnaire ou par brute force, c’est-à-dire que le pirate va utiliser plusieurs mots du dictionnaire avec toutes sortes de combinaisons possibles comme admin/password, password/admin, password1234, etc. jusqu’à obtention des accès. Aujourd’hui, un ordinateur portable a suffisamment de puissance pour pouvoir faire tourner des attaques de ce type pendant très longtemps et extrêmement rapidement. Cela signifie qu’en quelques secondes, un mot de passe faible peut être craqué et ouvrir l’accès à des données sensibles qui peuvent être ensuite dérobées, modifiées ou utilisées pour conduire une attaque de plus grande envergure.
Pallier au manque de sécurité à la conception en vulgarisant le danger sans pour autant effrayer les individus est donc nécessaire. La majorité de notre vie étant régie par l’informatique (le travail, la médecine, les courses, etc.), des dangers spécifiques à ces nouveaux usages apparaissent. Nous devons apprendre à nous prémunir de ces dangers, tout comme nous avons appris à nous prémunir des dangers routiers, par exemple. Dans l’IT, se préparer face aux cyber-risques requiert le renforcement des mots de passe. Une fois les mots de passe complexifiés, les risques de cyber-attaques sont fortement diminués – à moins d’être la cible privilégiée d’un pirate qui veut absolument rentrer chez vous parce qu’il sait que vous avez la donnée qui lui faut, mais cela est extrêmement rare. Il faut savoir que dans la majorité des cas, les individus ne sont pas visés en particulier. L’ordinateur scanne des ranges d’adresses IP chez un fournisseur ou un hébergeur pour faire tourner des attaques par dictionnaire. Elles apparaissent d’ailleurs très bien dans les logs parce que c’est un mécanisme instantané ; il s’agit uniquement d’un processus de scan informatique avec des scripts qui tournent. D’où l’importance et l’intérêt d’avoir un mot de passe renforcé pour bloquer instantanément ces attaques.
2. Le rôle des développeurs dans la sécurité à la conception
Lorsqu’il code, un développeur devrait systématiquement penser usages, usabilité mais également sécurité.
Vous avez beau mettre une porte blindée sur des murs en carton, vous ne pourrez pas résister à une attaque.
Il ne s’agira plus d’une attaque par dictionnaire mais de type zero day, avec des vulnérabilités qui sont publiées sur internet. Là encore, l’ordinateur scannera simplement l’internet pour trouver la signature des périphériques visés et conduire une attaque informatique. Il suffit au pirate de développer un script avec les programmes d’attaques pour prendre le contrôle de l’objet connecté.
En conséquence, la sécurité à la conception requiert deux éléments complémentaires : 1) un logiciel robuste sans vulnérabilité exposée 2) qui oblige un utilisateur sensibilisé à la sécurité à changer son mot de passe.
La seule solution pour contourner la sécurité à la conception serait de développer un équipement non connecté (air gapped), auquel cas il ne risquerait pas de vulnérabilité de ce type. Pour autant, il existe d’autres attaques comme l’ingénierie sociale ou un vol de données via clé USB pouvant mettre en péril la sécurité d’équipements comme ceux-ci.
Pour en savoir plus, contactez nos équipes ou visionnez cette vidéo de 5 cas d’usage où la sécurité de vos informations peut être en danger !