Gestion du Risque

Cyber Interview: Les clés pour renforcer la sécurité à la conception

Lors d’une précédente interview abordant les enjeux de sécurité à la conception et des objets connectés, Julien Patriarca, Directeur des Services Professionnels chez WALLIX et acteur cyber depuis plus de 10 ans abordait la question de responsabilité vis-à-vis de la sécurité.

Cette deuxième interview donne des pistes concrètes à l’implémentation des bonnes pratiques liées à sécurité à la conception.

Pour quelles raisons faisons-nous abstraction de la sécurité à la conception ?

Est-ce un choix, ou sous estimons-nous la sécurité ?

La sécurité est souvent perçue comme un frein à l’usage du numérique. Que ce soit auprès des individus ou des sociétés qui fabriquent du matériel connecté ou des logiciels, renforcer la sécurité dès la conception est un effort au quotidien pour les entreprises et les utilisateurs. Le processus demande du temps, de l’organisation et une certaine rigueur car la sécurité à la conception s’étend à l’implémentation de bonnes pratiques de sécurité dans l’usage de l’objet connecté ou du logiciel. De la même manière, un fabriquant ou un développeur qui souhaiterait renforcer la sécurité à la conception d’un matériel en obligeant les utilisateurs finaux à définir des identifiants et des mots de passe plus complexes pourrait craindre de voir un chiffre d’affaires moins important sur le court terme. Si les concurrents de ce fabriquant favorisent la simplicité d’installation et d’utilisation à la sécurité, ce qui est souvent le cas des utilisateurs finaux, cette crainte est compréhensible. Cependant, implémenter des techniques de sécurité à la conception sera à moyen terme un critère différentiateur à forte valeur ajoutée car il positionnera de telles entreprises en acteurs de la confiance numérique, avant de devenir une fonctionnalité indispensable.

Le manque de sensibilisation et d’éducation des utilisateurs finaux est l’un des défis phares de la sécurité à la conception

Les individus n’ayant pas encore reçu d’éducation très affirmée vis-à-vis des enjeux de sécurité liés au numérique, les fabricants qui souhaitent renforcer la sécurité de leurs produits à la conception prennent le risque que leurs clients optent pour une solution qui leur semble plus simple. On entend souvent des remarques comme :

« Je n’ai pas envie de retenir le mot de passe. »

« Je n’ai rien à cacher, qu’est-ce qu’un hacker viendrait chercher chez moi ? »

Je n’ai rien à cacher, qu’est-ce qu’un hacker viendrait faire chez moi ?

Les individus ont souvent peu de recul sur l’échelle et l’impact d’un piratage. Il ne s’agit pas d’un simple vol de données. L’attaque massive de Dyn, un fournisseur de services DNS, où des pirates ont exploité la faiblesse de la sécurité des caméras connectées pour attaquer par brute force l’entreprise américaine mettant à genoux des sites comme Twitter ou Reddit en est la preuve. Cet incident démontre l’ampleur de l’impact qu’un manque de sécurité à la conception peut engendrer. Pourtant, il est important de souligner que ce type d’attaque aurait pu avoir des répercussions allant bien au-delà de l’arrêt momentané de l’internet mondial, avait-il ciblé des organisations étatiques par exemple.

Il est facile d’imaginer un scénario où des pirates informatiques exploitent une vulnérabilité dans les caméras connectées pour lancer une attaque sur le service qui héberge le site des impôts la veille de la date du dernier tiers. Les caméras faiblement protégées avec des identifiants comme admin/password sont alors prises pour cibles pour perturber le processus de déclaration. Si un tel scénario venait à se produire, il est fort possible que les utilisateurs ne prendraient pas conscience de leur responsabilité dans cette attaque et accuseraient seulement l’organisme des impôts d’un manque de sécurité.

Encore une fois, il y a une vraie notion d’éducation à mettre en place pour sensibiliser les utilisateurs au fait que la sécurité à la conception et le maintien de cette sécurité est aussi important que l’usage du produit ou du logiciel.

La sécurité à la conception est aussi importante que l’usage du produit ou du logiciel.

Cela s’applique également aux entreprises dont le budget cybersécurité est souvent amoindri jusqu’à ce qu’une attaque survienne.

Comment peut-on pallier ce manque de sécurité ?

Aujourd’hui, les cyber-attaques sont médiatisées ce qui contribue à la sensibilisation des utilisateurs. Une personne qui ne travaille pas dans l’IT peut regarder le journal de 20h et prendre conscience de l’impact qu’un manque de cybersécurité peut avoir dans son environnement de manière très concrète. Le fait de vulgariser les pratiques informatiques pour relayer des événements comme les cyber-attaques engage les individus qui prennent de plus en plus conscience du risque lié au numérique et aux objets connectés, et échangent sur ce sujet avec leur entourage.

Ils peuvent donc plus facilement réaliser l’impact de leurs propres pratiques dans la sécurisation des objets qu’ils utilisent et devenir acteurs pour renforcer la sécurité à la conception.

1. Renforcer et complexifier les mots de passe

Un moyen simple et extrêmement efficace pour renforcer la sécurité à la conception est le changement de mot de passe de l’objet ou matériel connecté. Il suffit souvent d’un mot de passe un petit peu plus complexe (avec 8 à 10 caractères et des critères de complexité) pour avoir la quasi-certitude de ne jamais être piraté.

Un mot de passe complexe vous garantit une protection contre les attaques par brute force à 90%

Pourquoi ? Le plus souvent, une cyber-attaque fonctionne par dictionnaire ou par brute force, c’est-à-dire que le pirate va utiliser plusieurs mots du dictionnaire avec toutes sortes de combinaisons possibles comme admin/password, password/admin, password1234, etc. jusqu’à obtention des accès. Aujourd’hui, un ordinateur portable a suffisamment de puissance pour pouvoir faire tourner des attaques de ce type pendant très longtemps et extrêmement rapidement. Cela signifie qu’en quelques secondes, un mot de passe faible peut être craqué et ouvrir l’accès à des données sensibles qui peuvent être ensuite dérobées, modifiées ou utilisées pour conduire une attaque de plus grande envergure.

Pallier au manque de sécurité à la conception en vulgarisant le danger sans pour autant effrayer les individus est donc nécessaire. La majorité de notre vie étant régie par l’informatique (le travail, la médecine, les courses, etc.), des dangers spécifiques à ces nouveaux usages apparaissent. Nous devons apprendre à nous prémunir de ces dangers, tout comme nous avons appris à nous prémunir des dangers routiers, par exemple. Dans l’IT, se préparer face aux cyber-risques requiert le renforcement des mots de passe. Une fois les mots de passe complexifiés, les risques de cyber-attaques sont fortement diminués – à moins d’être la cible privilégiée d’un pirate qui veut absolument rentrer chez vous parce qu’il sait que vous avez la donnée qui lui faut, mais cela est extrêmement rare. Il faut savoir que dans la majorité des cas, les individus ne sont pas visés en particulier. L’ordinateur scanne des ranges d’adresses IP chez un fournisseur ou un hébergeur pour faire tourner des attaques par dictionnaire. Elles apparaissent d’ailleurs très bien dans les logs parce que c’est un mécanisme instantané ; il s’agit uniquement d’un processus de scan informatique avec des scripts qui tournent. D’où l’importance et l’intérêt d’avoir un mot de passe renforcé pour bloquer instantanément ces attaques.

2. Le rôle des développeurs dans la sécurité à la conception

La sécurité à la conception doit également être au cœur des préoccupations des développeurs car ce sont eux qui construisent l’objet connecté.

Lorsqu’il code, un développeur devrait systématiquement penser usages, usabilité mais également sécurité.

Si le logiciel est faillé, un pirate peut potentiellement entrer dans le logiciel ou le matériel connecté en exploitant une ou plusieurs failles. Dans ce cas, le mot de passe seul – même s’il est complexe, ne pourra pas suffire pour empêcher une attaque.

Vous avez beau mettre une porte blindée sur des murs en carton, vous ne pourrez pas résister à une attaque.

Il ne s’agira plus d’une attaque par dictionnaire mais de type zero day, avec des vulnérabilités qui sont publiées sur internet. Là encore, l’ordinateur scannera simplement l’internet pour trouver la signature des périphériques visés et conduire une attaque informatique. Il suffit au pirate de développer un script avec les programmes d’attaques pour prendre le contrôle de l’objet connecté.

En conséquence, la sécurité à la conception requiert deux éléments complémentaires : 1) un logiciel robuste sans vulnérabilité exposée 2) qui oblige un utilisateur sensibilisé à la sécurité à changer son mot de passe.

La seule solution pour contourner la sécurité à la conception serait de développer un équipement non connecté (air gapped), auquel cas il ne risquerait pas de vulnérabilité de ce type. Pour autant, il existe d’autres attaques comme l’ingénierie sociale ou un vol de données via clé USB pouvant mettre en péril la sécurité d’équipements comme ceux-ci.

Pour en savoir plus, contactez nos équipes ou visionnez cette vidéo de 5 cas d’usage où la sécurité de vos informations peut être en danger !

Cookie	Durée	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Durée	Description
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Cyber Interview: Les clés pour renforcer la sécurité à la conception

Pour quelles raisons faisons-nous abstraction de la sécurité à la conception ?

Le manque de sensibilisation et d’éducation des utilisateurs finaux est l’un des défis phares de la sécurité à la conception

Je n’ai rien à cacher, qu’est-ce qu’un hacker viendrait faire chez moi ?

Comment peut-on pallier ce manque de sécurité ?

1. Renforcer et complexifier les mots de passe

2. Le rôle des développeurs dans la sécurité à la conception

Qu’est-ce que l’auto-découverte des comptes à privilèges ?

Le WAB est mort, vive le Bastion 6.0

À découvrir

Autres ressources

Produits

Solutions

Ressources

À propos