La venue et l'exposé de Rob Joyce lors de la conférence Usenix Enigma furent à tout le moins étonnants. La NSA est en effet l'une des organisations les plus fermées des pouvoirs publics américains. Pendant longtemps, même les pratiques d'espionnage poussées du service ont toujours été démenties. Or voici à présent que son patron vient expliquer comment son équipe fonctionne et comment le citoyen peut fermer la porte à la visite indésirable de la NSA. The Register a dressé un compte-rendu de cette conférence.

Joyce a tapé fortement sur les doigts des gestionnaires IT. L'essence même de son exposé était en effet qu'ils doivent mieux savoir comment leurs systèmes se présentent et quels en sont leurs composants. "Souvent, nous connaissons mieux les réseaux que ceux qui les ont conçus et les font fonctionner", a-t-il déclaré. Et de citer une stratégie en six points utilisée par la NSA: découvrir, première pénétration, assurer la présence, installer un outil logiciel, étendre la présence et, dernière phase, collecter, exporter et exploiter les données.

'Nous essayons et essayons encore'

La phase cruciale est la première car il s'agit de trouver le point faible. "Nous essayons, nous attendons, puis essayons encore et attendons et ce, jusqu'à ce que nous trouvions la brèche." Son équipe se focalise surtout sur les bugs dans l'architecture des réseaux, ainsi que sur les personnes-clés dans l'organisation, qui ne prêtent pas trop d'attention à la politique de sécurité. Mais l'équipe recherche aussi des failles dans le réseau ciblé, pour pouvoir y entrer, et qui établit des connexions avec d'autres systèmes IT, comme le chauffage ou la ventilation. Ceux-ci représentent parfois une bonne cible d'attaque.

Joyce a aussi conseillé d'effectuer une évaluation en profondeur des fournisseurs de nuages, avant de conclure un contrat. Dès que vous stockez des données dans un nuage, vous devez avoir entièrement confiance dans la sécurité du fournisseur.

Vulnérabilité 'zero day' pas si habituelle que cela...

Il a du reste infirmé l'hypothèse souvent citée, selon laquelle les pirates gouvernementaux exploitent en général des points faibles non encore répertoriés (les 'zero day vulnerabilities'). "Ce n'est pas si habituel. Dans les grandes entreprises, la persévérance et une recherche ciblée suffisent pour y pénétrer sans exploiter le 'zero day': il existe bien d'autres manières nettement plus faciles, moins risquées et nettement plus productives."

Lisez le compte-rendu complet de l'intervention de Joyce sur The Register.

Source: Automatiseringgids

La venue et l'exposé de Rob Joyce lors de la conférence Usenix Enigma furent à tout le moins étonnants. La NSA est en effet l'une des organisations les plus fermées des pouvoirs publics américains. Pendant longtemps, même les pratiques d'espionnage poussées du service ont toujours été démenties. Or voici à présent que son patron vient expliquer comment son équipe fonctionne et comment le citoyen peut fermer la porte à la visite indésirable de la NSA. The Register a dressé un compte-rendu de cette conférence.Joyce a tapé fortement sur les doigts des gestionnaires IT. L'essence même de son exposé était en effet qu'ils doivent mieux savoir comment leurs systèmes se présentent et quels en sont leurs composants. "Souvent, nous connaissons mieux les réseaux que ceux qui les ont conçus et les font fonctionner", a-t-il déclaré. Et de citer une stratégie en six points utilisée par la NSA: découvrir, première pénétration, assurer la présence, installer un outil logiciel, étendre la présence et, dernière phase, collecter, exporter et exploiter les données.'Nous essayons et essayons encore'La phase cruciale est la première car il s'agit de trouver le point faible. "Nous essayons, nous attendons, puis essayons encore et attendons et ce, jusqu'à ce que nous trouvions la brèche." Son équipe se focalise surtout sur les bugs dans l'architecture des réseaux, ainsi que sur les personnes-clés dans l'organisation, qui ne prêtent pas trop d'attention à la politique de sécurité. Mais l'équipe recherche aussi des failles dans le réseau ciblé, pour pouvoir y entrer, et qui établit des connexions avec d'autres systèmes IT, comme le chauffage ou la ventilation. Ceux-ci représentent parfois une bonne cible d'attaque.Joyce a aussi conseillé d'effectuer une évaluation en profondeur des fournisseurs de nuages, avant de conclure un contrat. Dès que vous stockez des données dans un nuage, vous devez avoir entièrement confiance dans la sécurité du fournisseur.Vulnérabilité 'zero day' pas si habituelle que cela...Il a du reste infirmé l'hypothèse souvent citée, selon laquelle les pirates gouvernementaux exploitent en général des points faibles non encore répertoriés (les 'zero day vulnerabilities'). "Ce n'est pas si habituel. Dans les grandes entreprises, la persévérance et une recherche ciblée suffisent pour y pénétrer sans exploiter le 'zero day': il existe bien d'autres manières nettement plus faciles, moins risquées et nettement plus productives."Lisez le compte-rendu complet de l'intervention de Joyce sur The Register.Source: Automatiseringgids