Eddy Willems

Que représente le piratage à la NSA pour les entreprises?

Eddy Willems Eddy Willems est security evangelist chez G Data Cyberdefense

Plus tôt ce mois-ci, des données ont été dérobées à la NSA. Il s’girait de ce qu’on appelle une faille ‘zero-day’ encore inconnue, permettant à tout un chacun d’accéder au software. Eddy Willems se demande ce que cela signifie pour les entreprises: ‘Personne ne peut donner de garantie à cent pour cent, même pas avec une configuration soi-disant parfaite’.

Précédemment ce mois-ci, un individu ou un groupe d’individus baptisé Shadow Brokers a mis en vente un volumineux fichier pour un demi-milliard d’euros minimum. Le fichier contiendrait des ‘zero-days’, à savoir des failles sécuritaires tant matérielles que logicielles inconnues et donc pas encore colmatées (ce qu’on désigne par le terme anglais ‘exploits’). Ces informations proviendraient d’un serveur du service secret américain NSA, qui découvre couramment de nouvelles brèches dans la sécurité et – comme on le suppose depuis longtemps déjà et qui s’avère exact aujourd’hui – n’en informe que de manière très limitée les auteurs du matériel ou des logiciels concernés. La toute grande majorité des failles est cependant conservée pour les utiliser en vue de collecter des renseignements.

Que représente le piratage à la NSA pour les entreprises?

Il se dit beaucoup de choses sur la nature du piratage (n’était-ce pas simplement un coup monté de l’intérieur, alias un inside job?) et sur le bon fonctionnement des échantillons gratuits des ‘exploits’ proposés. Même si je trouve les deux sujets très intéressants, le véritable débat porte, selon moi, sur ce que tout cela représente pour les internautes particuliers et pour les entreprises.

Ce piratage (appelons-le ainsi, si vous le voulez bien) nous rappelle l’importance des vulnérabilités zero-day. Les composants tant matériels que logiciels sont programmés par des humains et ne sont par conséquent quasiment jamais parfaits. Les appels à créer du software plus sûr ont été souvent déjà lancés, mais la perfection restera une illusion, aussi longtemps qu’il y aura un marché florissant pour des produits imparfaits. Si des défectuosités sont découvertes par des personnes mal intentionnées (ou par la NSA qui se les fait… voler par la suite), ce sont tous les internautes qui courent un danger. Il est manifeste également qu’il est d’une importance capitale pour les logiciels de sécurité qu’ils protègent aussi contre des failles sécuritaires inconnues. Les technique de sécurité proactives du genre ‘exploit protection’, ‘behaviour blocking’ et heuristique ne font pas pour rien partie de tous les logiciels de sécurité sérieux (même si ces derniers sont par défaut régulièrement désactivés, ce qui fait qu’un bon paramétrage s’avère très important). Malheureusement, personne ne peut donner de garantie à 100 pour cent que toutes les menaces seront toujours détournées en temps voulu, même pas dans le cas d’une parfaite configuration.

Malheureusement, personne ne peut donner de garantie à 100 pour cent que toutes les menaces seront toujours détournées en temps voulu, même pas dans le cas d’une parfaite configuration.

Le piratage à la NSA peut être analysé aussi dans une perspective spécifique. Les enchères émises sur les données dérobées à la NSA ne sont prises au sérieux qu’à partir d’1 million de bitcoins, ce qui correspond à plus d’un demi-milliard d’euros. Il s’agit là d’un montant astronomique que peu de personnes pourront proposer. Voilà qui confirme ce que nous savions déjà: les failles zero-day sont très coûteuses. Un cybercriminel doit – s’il n’est pas lui-même capable de découvrir une vulnérabilité zero-day – plonger profondément la main dans sa bourse pour en acquérir une. Et quand on l’a acquise, on estime qu’on ne peut l’exploiter au mieux qu’une seule fois. Après la première utilisation, le point faible peut en effet être découvert, après quoi il sera vite colmaté. Les cybercriminels qui sont à même de dénicher une faille zero-day, ont probablement tout intérêt à la vendre pour une coquette somme, plutôt que d’en faire usage eux-mêmes. La possibilité d’en tirer un haut profit existe certes, mais une vente engendre clairement un bénéfice direct.

Qui accepte de payer pour acquérir une faille zero-day?

La question est de savoir qui dispose de suffisamment d’argent pour se procurer une faille zero-day? Du point de vue économique, la réponse devrait être la suivante: quelqu’un qui sait à coup sûr qu’il pourra gagner davantage encore en utilisant cette faille que ce qu’il a dépensé pour l’acquérir. Et du point de vue politique, la réponse pourrait être la suivante: un pays qui veut coûte que coûte collecter certains renseignements sur un autre pays. Dans la pratique, on observe aussi que les failles zero-day sont surtout exploitées pour ce qu’on appelle des attaques ciblées (‘targeted attacks’). Les victimes (ou en tout cas les cibles) sont rarement des consommateurs candides, mais des banques, des grandes multinationales, des armées, des ministères, des services de renseignements, des centrales énergétiques, etc.

Les fournisseurs et partenaires professionnel des grandes entreprises et instances publiques sont généralement quelque peu moins conscients du danger.

Mais cela ne s’arrête pas là. Ces cibles connaissent très bien la valeur de leurs données et systèmes. Ils n’épargnent donc ni les coûts ni la peine de les sécuriser de manière optimale et de limiter le risque d’erreurs humaines à un minimum. Il est dès lors parfois plus facile pour les pirates de pénétrer dans ces systèmes de manière détournée. Les fournisseurs et partenaires professionnels des grandes entreprises et instances publiques sont généralement quelque peu moins conscients du danger et peuvent être attaqués avec succès de manière nettement plus simple. Ces fournisseurs peuvent ensuite servir comme un genre de Cheval de Troie. En outre, une attaque peut certes être ciblée, mais il est généralement aussi question de dommages collatéraux. Le fournisseur infecté contamine non seulement le client visé par les criminels, mais aussi tous ses autres clients et fournisseurs. Quiconque est actif sur LinkedIn, sait que chaque entreprise est connectée de près à n’importe quelle autre entreprise dans le monde, ce qui fait que chacune d’elles court le danger de faire l’objet d’une attaque zero-day.

La conclusion doit donc être que chaque entreprise doit prendre des mesures propres pour se protéger contre les failles zero-day. Voilà en somme ce que signifie le piratage NSA pour les entreprises.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire