Cybersécurité: les pirates informatiques ont-ils toujours un coup d'avance?

C'est la tendance forte de la 14e édition des Assises de la sécurité à Monaco (1-4 octobre): les pirates informatiques semblent désormais systématiquement avoir un coup d'avance dans la bataille globale de plus en plus complexe de la cybersécurité.

«Jamais dans le monde l'avantage n'a autant été du côté de l'attaque» de la part des pirates, confirme Philippe Duluc, directeur de la sécurité chez Bull.

Pas une semaine ne s'écoule sans qu'un grand groupe ne soit victime d'une faille majeure et les vols de mots de passe se mesurent à présent en centaines de millions. La banque américaine JPMorgan a ainsi révélé jeudi que l'attaque informatique dont elle a été victime pendant l'été a touché 76 millions de ménages et sept millions de PME, clients de l'établissement.

Pire, selon une étude du cabinet PwC, alors que le nombre d'incidents déclarés a augmenté de 48% dans le monde depuis le début de l'année pour un coût moyen de 2,8 millions de dollars, le budget moyen alloué à la sécurité informatique a diminué dans le même temps de 4%.

«En France, ce sont les organisations de moins de 250 salariés qui sont les plus ciblées parce qu'il est préférable de viser un sous-traitant d'un grand groupe qui sera potentiellement moins protégé et offrira un accès à ce dernier», souligne Laurent Heslault, directeur des stratégies de sécurité chez Symantec.

Les pirates se sont professionnalisés et regroupés à mesure qu'ils s'enrichissaient, renforçant leur capacité à détourner n'importe quel type d'appareil pouvant leur servir, comme l'a expérimenté un opérateur brésilien qui a vu ses cases postales (d'accès à internet et aux bouquets télévisés) être piratées.

Les responsables de la sécurité des systèmes d'information sont pour l'instant démunis à l'heure d'affronter les nouveaux usages: big data, BYOD (usage des appareils mobiles personnels dans l'entreprise), objets connectés et «cloud».

Antivirus classiques inefficaces 

À Monaco, au lieu de la protection certifiée inviolable d'antan qui détectait immédiatement les menaces, l'accent est d'ailleurs mis sur l'analyse des signaux faibles et inhabituels trouvés dans le serveur ou l'ordinateur, desquels il faut déduire les symptômes éventuels d'une attaque présente ou passée.

Le ton alarmiste destiné à vendre un maximum de solutions aux acheteurs institutionnels et privés a donc cédé la place à un constat: la prévention des incidents s'est transformée en gestion optimale des dégâts.

Même lorsqu'une incursion est détectée, il est extrêmement difficile de la circonscrire, à l'image de «Shellshock», la faille récemment trouvée dans le programme Bash (un protocole d'accès aux appareils à distance) qui est «lié à environ 50% des sites internet», selon Loïc Guézo, directeur stratégie de Trend Micro pour l'Europe du Sud.

«Une fois le patch de correction disponible, encore faudra-t-il trouver le temps de l'appliquer, et cela concerne 500 millions de machines et pas 500 000 comme dans le cas de Heartbleed (la précédente faille majeure, découverte en mars)», indique-t-il.

Les antivirus classiques, qui constituent encore la seule ligne de défense de nombreuses sociétés, sont depuis longtemps inefficaces face aux attaques par déni de service, face aux «ransomwares» qui font payer pour reprendre le contrôle de son téléphone intelligent, aux menaces persistantes avancées (attaques à répétition en général menées par des États) et aux attaques ciblées, tendance la plus récente.

«Il faut vraiment avoir des compétences très pointues pour les détecter, dont très peu d'ingénieurs disposent, les formations universitaires permettant de les acquérir étant rares», souligne Tanguy de Coatpont, directeur général de Kaspersky Lab France.

Mais les pirates s'appuient aussi et surtout sur la naïveté de consommateurs souvent peu au fait des dangers.

La société finlandaise de sécurité informatique F-Secure a récemment mené une enquête sur ce sujet en offrant dans les rues de Londres un accès wi-fi «empoisonné», bricolé avec des composants coûtant environ 200 euros (280$) Non seulement les passants se sont fait pirater leurs données sans s'en rendre compte en se connectant automatiquement mais certains n'ont pas le moins du monde pris garde aux conditions générales d'utilisation, stipulant par exemple qu'ils acceptaient de céder l'aîné de leurs enfants en échange du service, et à défaut leur chien ou leur chat...

Défendre «la porte d'entrée» des entreprises n'est plus suffisant

Face aux capacités des pirates, défendre «la porte d'entrée» des groupes industriels n'est plus suffisant, il faut aussi défendre l'intérieur des systèmes, explique à l'AFP Sébastien Faivre, directeur associé de Brainwave, spécialiste des problèmes de fraudes et de fuites de données dans les entreprises.

Le dirigeant fait ce constat à l'occasion de la 14e édition des Assises de la sécurité et des systèmes d'information à Monaco, rendez-vous annuel des acteurs de la sécurité informatique.

Q: Est-il encore possible de prévenir toute intrusion dans une entreprise?

R: Entre un hacker et l'entreprise qui cherche à se protéger existe à peu près la même dynamique qu'entre le cambrioleur et le serrurier. En informatique, le passe-partout du voleur est une attaque imparable car menée sur une vulnérabilité dite «zero-day», utilisant des failles non détectées jusque là dans un logiciel.

Mettre une porte blindée n'est plus une option viable vu la complexité des systèmes car l'entreprise est dépendante des échanges et en ouvrant on crée fatalement des brèches dans lesquelles les pirates s'engouffrent.

Cette ligne Maginot a été perdue, surtout que les pirates se sont industrialisés, qu'il s'agisse de particuliers, d'états ou d'organisations criminelles. Le sujet ce n'est donc plus tant la porte d'entrée de la maison mais ce qui se passe derrière.

Q: Comment se déroulent les intrusions ciblées pour extraire des données?

R: Lorsque le hacker casse la porte, il arrive dans un labyrinthe. Il ne sait pas dans quelle pièce il se trouve, en l'occurrence sur quelle machine il tombe, et il y a très peu de chance que ce soit celle qui l'intéresse.

L'attaquant installe alors un passage secret qui va lui permettre de faire des allers-retours sur cette porte d'entrée. À partir de là, pendant en général deux à trois mois, il va essayer discrètement de rebondir de salle en salle, de machine en machine pour aller chercher la donnée qu'il recherche.

Q: Comment l'entreprise doit-elle réagir?

R: Avant, on considérait qu'à l'intérieur de l'entreprise il ne fallait pas mettre en place trop de protocoles de sécurité pour qu'elle reste efficace et opérationnelle. Il y a eu une prise de conscience ces dernières années de la nécessité d'implanter une défense en profondeur.

L'important c'est de détecter les signaux faibles. On part du principe qu'il ne reste pas de milieux sains dans l'entreprise. La gestion des identités sur le réseau interne est donc devenue primordiale. Dans certains groupes, celle-ci est encore effectuée à la main avec des fiches papier! Cela consiste par exemple à surveiller les machines qui se mettent à avoir des comportements bizarres ou repérer les comptes d'accès qui n'étaient pas utilisés depuis longtemps et qui se remettent soudain à fonctionner. C'est là que réside la clé.