Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hacking : on n’est jamais aussi bien servi que par soi-même !

octobre 2016 par Philippe Carrère, Directeur Europe du Sud, Protection des Identités et des Données, Gemalto

Aujourd’hui, tout peut s’acheter sur Internet, légalement ou non. Lance-roquettes, drogues dures et services de piratage sont devenus aussi faciles à acheter que des livres ou de la musique.

Si certains de ces services sont disponibles sur le Web classique, les candidats à l’achat les plus motivés se tournent vers TOR (The Onion Router), un réseau informatique superposé mondial et décentralisé. Aussi connu sous le nom de Dark Web, TOR permet aux vendeurs et acheteurs de réaliser leurs transactions sous couvert de l’anonymat le plus total et d’utiliser des monnaies chiffrées telles que le BitCoin.

Par le biais de TOR, les services de hacking se sont multipliés ces dernières années. Ils tombent notamment entre les mains de particuliers animés par des désirs de vengeance tel que Edwin Vargas, détective de la police de New York. Par jalousie, celui-ci a payé 4000$ pour obtenir plus de 40 mots de passe de courriels, dont plus de la moitié appartenait à des policiers.

Un rapport de la Rand Corporation souligne que « la plus grande disponibilité des modèles as-a-service et des tutoriaux en ligne facilitent l’accès aux novices à des outils qu’ils n’auraient pas utilisés auparavant ».

En effet, si ces services sont si prisés, c’est essentiellement parce qu’ils sont facilement accessibles et beaucoup plus simples à mettre en place. Il suffit de constater le nombre de personnes capables de créer des sites internet par elles-mêmes ! Sans compter qu’il est de plus en plus simple de contourner les barrières utilisées pour se prémunir du hacking.

Face à la facilité croissante avec laquelle des particuliers ont désormais accès aux technologies de piratage, les entreprises s’orientent vers le hacking éthique. Ces services sont accessibles de plus en plus rapidement et pour des coûts toujours plus faibles. Le besoin de préparation à l’intrusion est d’autant plus grand que les chances d’en subir une sont démultipliées depuis que le hacking s’est démocratisé.

Un piratage facilité…

Il ne s’agit plus désormais de se dire que l’on est vigilant et de continuer à faire comme si de rien n’était. Un facteur additionnel vient changer la donne et l’ignorer relèverait de l’inconscience. Il s’agit de la nature même de la surface d’attaque.

Dans un environnement « traditionnel », trois composantes peuvent être considérées : l’environnement physique, le matériel informatique puis le logiciel. Des règles, procédures et protections spécifiques sont envisagées pour chacune d’entre elles.

Dans le monde virtuel, les couches physiques et matérielles ont été conçues de sorte à créer une plateforme de base solide qui a, certes, besoin de protection mais dont les contrôles sont aisément réalisables et maîtrisés par l’entreprise. Comme une couche additionnelle au-dessus de cette plateforme, les fournisseurs et entreprises ont créé un environnement virtuel éminemment complexe et interconnecté.

Mais, alors que la protection des données se complexifie, le hacking, quant à lui, se simplifie. Adopter une attitude passive et espérer ne pas se faire attaquer expose au danger car l’automatisation des process rend l’attaque inévitable.

Pour reprendre le rapport Rand Corporation, « L’hyperconnectivité est à l’origine d’une multitude de points d’entrée à partir desquels les attaques peuvent proliférer. De fait, la criminalité va intégrer une dimension réseau et une composante virtuelle, élargissant ainsi l’éventail d’opportunités pour le marché noir ».

…mais un hacking éthique plus accessible

Comment se protéger ? Tout simplement en attaquant le premier ! Cela fait des années que les tests d’intrusion (hacking éthique) existent. Et, tout comme il est possible de programmer des ordinateurs, il est possible de faire de même avec les « exploits[1] », il en existe des bibliothèques complètes accessibles gratuitement.

Les entreprises ne doivent pas se priver d’appliquer des initiatives telles que le lancement d’un programme de vérification des backdoors (portes dérobées) des systèmes internes. Ce n’est pas bien compliqué à mettre en place, et tout le problème est justement là ! Si cela était complexe, les pirates trouveraient des moyens plus simples pour s’enrichir. Les nombreux avantages offerts par le piratage éthique aux entreprises valent bien plus que le temps et l’effort d’implémentation qu’ils nécessitent.

S’il est impossible de mener ces actions en interne, des services externes, légaux, existent et sont désormais nombreux sur le marché. Inutile de vérifier tous les systèmes et services informatiques de l’entreprise, uniquement ceux identifiés comme donnant accès à des données sensibles.

Pour conclure : la localisation des données sensibles de l’entreprise est primordiale. Si cette étape n’a pas encore démarré, il est grand temps de s’y mettre. Il s’agira ensuite de vérifier leur accessibilité afin d’en assurer la sécurisation. Tout ceci, n’est bien évidemment pas gratuit mais les frais seront toujours plus faibles que l’impact d’une attaque.




Voir les articles précédents

    

Voir les articles suivants