Les menaces contre la sécurité toujours plus subtiles
Les dangers qui menacent la sécurité des entreprises, deviennent toujours plus subtiles. Telle est la mise en garde qui a été lancée lors de la RSA Conference Europe de Londres. Mais, ajoute-t-on aussitôt, il ne faut pas perdre de vue non plus les menaces classiques.
Les dangers qui menacent la sécurité des entreprises, deviennent toujours plus subtiles. Telle est la mise en garde qui a été lancée lors de la RSA Conference Europe de Londres. Mais, ajoute-t-on aussitôt, il ne faut pas perdre de vue non plus les menaces classiques.
Un discours thématique donne habituellement le ton d’un événement. Art Coviello, président de la RSA – la division sécurité d’EMC – a raconté hier l’histoire de la grenouille et de l’eau bouillante. Si vous plongez la grenouille dans cette eau, elle va en sortir aussitôt, mais si vous faites chauffer progressivement l’eau, la grenouille sera finalement… cuite. De même, les entreprises sont aujourd’hui sur leurs gardes contre une perte soudaine d’informations sensibles, mais à côté de cela, elles ne se soucient guère de la perte progressive de données apparemment anodines.
Ces dernières sont du reste qualifiées de ‘gateway data’ par Hugh Thompson, chief security strategist chez People Security. Il s’agit en l’occurrence de données qui peuvent immédiatement être exploitées pour des attaques (‘direct use’) ou qui donnent un sentiment de crédibilité à la victime (‘amplification’) ou encore qui, en les regroupant, s’avèrent dangereuses (‘collective intelligence’).
Cette troisième catégorie est tout particulièrement périlleuse dans la mesure où les personnes, soit séparément, soit en groupe, diffusent toujours plus d’informations, souvent inconsciemment, sur internet. Un exemple est fourni par le piratage de la boîte mail de Sarah Palin – la colistière du candidat MacCain à la présidence des Etats-Unis – qui ne s’est pas avéré trop malaisé du fait que la réponse à la question ‘mot de passe oublié?’ avait pu être facilement trouvée sur sa page wikipedia. Des informations sur l’endroit où vous vous trouvez – par exemple via un service en ligne tel ‘Loopt’ – peuvent aussi révéler avec quelle entreprise vous négociez.
Un exemple particulièrement pertinent, fut celui cité par Thompson de la façon dont une question subitement posée en matière d”endorsements’ dans LinkedIn peut pour plusieurs personnes d’une même entreprise (surtout si elles font partie du ‘senior management’) être une indication que d’importants changements s’y préparent (licenciements, rachat,…). Les agresseurs disposent alors d’outils parfaitement adaptés, prévient-il.
Un exemple d”amplification’ est constitué par les efforts consentis par des personnes mal intentionnées en vue d’attirer des victimes dans leur piège à l’aide de sites web de belle apparence, mais complètement factices.
Pour la RSA, tout cela signifie non seulement que les gens doivent être davantage conscients de ce type de menace, mais aussi que la sécurité doit être incorporée de manière toujours plus transparente et parfaite dans l’infrastructure même des entreprises. En particulier, l’élaboration de nouveaux environnements virtuels doit permettre d’intégrer dès le début les éléments sécuritaires à la technologie proprement dite.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici