Sécurité

La vérité sur les attaques « internet » récentes

Publié le : Auteur: htroalic Laisser un commentaire
securite

Passée l’effervescence des semaines passées suite notamment à l’attaque sur TV5, il nous a paru intéressant de faire un article sur « les attaques internet » et leur réalité effective. Faire la différence entre la menace réelle et la part de « fantasme » inhérente à ce genre d’attaques souvent relayée et amplifiée par des médias en mal de sensation.

Pour illustrer notre propos nous reviendrons aussi sur la série d’attaques subit par des sites internet français début janvier 2015.

Ces attaques requièrent des moyens et des compétences fortes !

Objectivement, si nous regardons les deux événements cités plus haut, c’est globalement faux. En effet, la grande majorité des attaques lancées en janvier a consisté en des scans en vue d’identifier des failles connues sur des « outils » web sous-jacents aux sites et autres portails Web. Une fois les sites vulnérables identifiés il ne « restait plus » qu’à utiliser la faille pour « défacer » le site. Loin de moi l’idée de minimiser ces faits, mais de démontrer dans ce cas que la démarche utilisée est bien connue et largement documentée.

Concernant TV5, il semblerait que l’attaque soit plus « complexe » mais néanmoins il parait avéré qu’elle s’est appuyée sur un certain nombre d’informations récupérées en « source ouverte » par les attaquants. Il semble peu probable (comme cela a été dit sur un certain plateau de télévision) que les attaquants aient bénéficié de collusions internes.

Dans « la vraie vie », ce que nous constatons quasiment systématiquement au travers des audits que nous réalisons, c’est :

  • qu’il est assez simple d’obtenir de l’information sensible en source ouverte
  • qu’il existe trop souvent des vulnérabilités non corrigées sur les plateformes internet qui peuvent ensuite être exploitées facilement
  • que les responsables n’ont pas une vision suffisamment exhaustive du périmètre menacé et que par conséquent il est compliqué de le protéger

La communication autour de ces attaques est-elle positive pour la suite ?

Il est toujours bon de communiquer et on ne peut reprocher à une entreprise de le faire. En ce qui me concerne, j’ai toujours cette arrière-pensée de me demander si l’entreprise aurait communiqué si le préjudice n’avait pas été aussi visible (défacement, coupure d’antenne, indisponibilité du service, revendication par les auteurs, …).

Lorsque la décision de communiquer est prise, encore faut-il le faire convenablement et de manière responsable. Désolé de le dire mais en ce qui concerne TV5 j’ai trouvé la communication maladroite. En effet, on ne peut pas dire que tout a été fait pour sécuriser le périmètre alors que les faits prouvent le contraire. Ce type de propos a d’ailleurs soulevé des interrogations légitimes de la part de quelques journalistes. Dans tous les cas et pour tous les types d’entreprises impactées, nous avons une responsabilité collective de ne pas causer une forme de panique ou d’alimenter les fantasmes. Au contraire, nous devons être factuels et reconnaitre qu’en la matière il faut remettre constamment son métier à l’ouvrage. Évidemment, cela revient à avouer qu’on a failli et cela n’est jamais bon pour sa carrière. Ceci dit, est-ce que les responsables de la sécurité ont toujours les moyens nécessaires ?

Au-delà de cet épisode navrant, cela met en relief la nécessité d’inclure le domaine de la sécurité informatique dans les communications de crise déjà en place dans les entreprises. Pour les entreprises qui n’en ont pas, il est urgent de s’y mettre…

Est-ce qu’il y a plus d’attaques aujourd’hui qu’hier et moins que demain ?

Encore une fois, objectivement et compte-tenu du développement des réseaux et de l’usage de l’informatique dans notre quotidien, la réponse est oui.

Ce qui est certain aussi, c’est que l’on communique plus sur les attaques ou les sinistres subits. La raison principale étant que ces attaques trouvent un retentissement plus grand dans notre quotidien et qu’il est donc plus difficile de les cacher.

Un autre point important à souligner est évidemment le nombre de plus en plus important de gens en mesure de réaliser des attaques.

Il faut donc s’attendre à subir de plus en plus d’attaques dans le futur.

Alors comment se protéger d’une menace qui ressemble de plus en plus à une déferlante ?

Cela fait au moins 20 ans que tous les spécialistes prédisent ce qui se produit en ce moment.

La nomination de Responsables de la Sécurité des Systèmes d’information ne date pas d’hier et ceux-ci ont évidemment contribué grandement à la prise en compte de la problématique dans bien des entreprises. Néanmoins, il reste difficile de justifier des investissements dans ce domaine et bien souvent les PME/PMI (qui constituent la majorité du tissu économique Français) restent désarmées.

Les chantiers restent immenses et les ressources trop souvent limitées. La première chose à faire est d’octroyer un budget dédié au domaine. Je n’ai pas de chiffre à donner car cela dépend des organisations mais il faut se poser les bonnes questions en amont et surtout ne pas ramener le sujet au simple achat d’un pare-feu !

Une chose est sûre : il existe des bonnes pratiques en la matière et à minima toutes les entreprises devraient s’en inspirer (les mesures d’hygiène de l’ANSSI). Ce qui est sûr aussi, c’est que cela ne sera pas suffisant.

Il faut donc compléter le dispositif par des audits très réguliers,un dispositif de réponse à incident adapté et enfin, une communication régulière auprès de tous les utilisateurs.

 

Références :

Article de 20 minutes sur l’affaire TV5

Piratage de #TV5Monde : l’opération cyber pieds nickelés

Guide d’hygiène informatique