Bernard Besson, Président Honoraire des Conciles de la Sécurité, a souligné que depuis les attentats du 11 septembre, la guerre a franchi un nouveau palier dans la mesure où aujourd’hui il est très difficile voir impossible de connaître ses adversaires. Ainsi, nous avons besoin à la fois d’intelligence et de partage d’information. Ainsi, l’informatique ayant pris une place stratégique dans notre société les DSI, RSSI… deviennent des correspondants incontournables de la collecte et de la protection de l’information. Dans cette nouvelle situation, les RSSI devraient également avoir la charge de l’Intelligence Economique (IE) au sein de leur entreprise. Pourtant encore aujourd’hui, trop souvent les RSSI n’ont pas de budget et ont souvent un positionnement atypique dans les entreprises. De ce fait, la sécurité au lieu d’être au cœur de tous les projets, passe en second plan ou est traitée de manière incomplète.

Pourtant, dans le texte fondateur du programme de la politique publique, l’IE est défini dans le pole 4 en termes de sécurité. Ainsi, les sites classés, la sécurité industrielle, la sûreté, la lutte contre la malveillance et toutes les sortes d’atteinte à l’intégrité de la société et à la compétitivité sont intégrées dans cette définition. A ces menaces doivent s’ajouter les risques managériaux, les problèmes de pyramides des ages qui pourraient conduire à une amnésie des savoir-faire et des réseaux de la connaissance dans les entreprises.

Dans ce contexte, les RSSI doivent non seulement sécuriser les SI mais aussi les rendre plus agiles. D’ailleurs, le CIGREF a transformer l’acronyme TIC en TICC : technologie de l’Information de la Coopération et de la Connaissance. L’important est aujourd’hui de déterminer précisément les menaces car suivant la fameuse maxime : Un risque déjà nommé est connu, donc partiellement maîtrisé !

Nouvelles technologies et sécurité

René Amirkhanian, Directeur technique de NBS System a énuméré les principales menaces qui pèsent sur les entreprises en passant du Wi-Fi, au social engineering, des photocopieurs et scanners, aux PABX et IPBx, pour finir avec les disques dur des PC usagés. Sans compter bien entendu les fuites d’informations dues aux divers périphériques de plus en plus évolués clé USB, disques durs amovibles, IPOD, BlackBerry et autres outils de mobilités.

Le Web 2.0 est un des nouveaux vecteurs d’attaques utilisés par les pirates car comme toutes nouvelles technologies, la sécurité a été souvent occultée ou mal conçues. Ainsi, il est possible de faire exécuter du code sur le poste client de manière transparente, de voler des identifiants, des données bancaires, de prendre le contrôle de postes, de faire des attaques en rebond sur le réseau local ou encore orienté web. Les techniques les plus utilisées par les pirates sont : le Cross Site Scripting (XSS), l’injection SQL, le http Smuggling, le Web Cache Poisonning, le phishing, le vol de session, l’anti DNS Poisonning ou encore des attaques par Ajax. Concernant les risques liés à Ajax, ils proviennent d’implémentations insuffisantes en termes de sécurité, de business logique déporté des serveurs vers les postes clients. Sans compter qu’il est aussi possible de contourner la « Same Origin Policy » ou utiliser les IFrames pour transformer le navigateur en routeur d’Internet vers le LAN. Ces catégories d’attaques Web 2.0 sont très mal appréhendées par les entreprises et plus particulièrement par les développeurs qui n’ont en général pas la culture ou la formation pour protéger leurs développements correctement.

Les technologies XAML sous la menace

La technologie Silverlight de Microsoft permet de très nombreuses actions ainsi qu’une interaction accrue avec le système d’exploitation. Ceci implique une exposition supplémentaire aux risques de sécurité accrues du à l’importance croissante du rôle des navigateurs. Ainsi, les utilisateurs peuvent être l’objet d’attaques indirectes comme par un lien sur un site web, ou un "contenu actif" type Ajax peut contenir une attaque effectuée par un pirate. C’est le visiteur du site web qui se retrouve alors à lancer l’attaque. Bien entendu ce type de malveillance pose le problème de la responsabilité juridique de l’utilisateur. Cela signifie t’il qu’il suffit pour un attaquant de créer lui-même une page lançant une attaque et de surfer dessus pour revendiquer son innocence ? La question reste en suspend…

La RFID source d’infection et de désorganisation de la logistique des entreprises

Thibault Koechlin, consultant chez NBS System a démontré que le déploiement accéléré de la RFID, en omettant la sécurité, pourrait devenir une source d’infection virale et de désorganisation de la logistique des entreprises. Les menaces sont multiples du fait de l’absence d’authentification sur nombreux tags. En particulier, des possibilités d’écoute, de rendre le tag interne par l’utilisation de la fonctionnalité appelée « kill »… Il est ainsi assez aisé de se livrer à des processus d’usurpation d’identité et de tracer ses utilisateurs, ce qui pose des problèmes vis-à-vis de la CNIL concernant la législation sur la « vie privée ». Par ailleurs certains tags RFID utilisent des fréquences si proches de celles utilisées par les GSM qu’il sera prochainement possible d’effectuer certaines attaques directement depuis un téléphone en modifiant le firmware de ce dernier.

Power Analysis : Une attaque générique

Cette attaque vise les tags effectuant des opérations (identification, chiffrement). Elle s’effectue par analyse du champ électromagnétique dégagé par le tag afin de deviner les opérations effectuées. La Power Analyse n’est pas propre au RFID mais s’y applique parfaitement. Ainsi, Yossi Oren & Adi Shamir (RSA Labs) en on fait la démonstration sur les tags EPC de classe G1 pour détecter le kill code. L’attaque ne vise pas à essayer de manière systématique un mot de passe, mais à le deviner peu à peu en analysant les opérations effectuées par les tags.

Le traitement automatique de l’information en RFID : Vers un Worm RFID capable de désorganiser la logistique d’une entreprise ?

Le système RFID est souvent détourné de son rôle d’identification vers un rôle d’authentification. Mais cette erreur peut être couplée aux plus classiques Buffers overflow, Injections SQL, et erreurs de conception. Les systèmes RFID en vase clos sont souvent peu audités et parfois moins sécurisés encore que les autres.

De plus, une majorité d’entreprises utilisent des tags passifs pour des raisons de coût. Ces derniers ont pour spécificité d’être inertes, sans batterie, uniquement alimentés par l’onde radio et avec un espace de stockage limité. Il semble, d’après cet expert, qu’il soit possible de créer des vers d’une taille de quelques octets capables de s’auto-propager lors du passage sous le lecteur RFID en infectant ce dernier avec une injection SQL. La contamination se fera à la manière d’un virus biologique, de proche en proche. Ainsi, on peut très bien imaginer de désorganiser le transit des bagages dans un aéroport quand ceux-ci utiliseront le RFID ou la gestion des stocks d’une entreprise...

Les réseaux sociaux, pour tout savoir sur tout le monde en toute discrétion

Philippe Humeau, Directeur Commercial de NBS a présenté la « Small World Domination » qui permet en quelques mois d’accumuler des informations confidentielles sur une cible. Dans ce domaine, tout commence par la détermination d’une cible : dirigeant d’entreprise, spécialiste d’un domaine, responsable de production, DAF… Le principe est de réduire au maximum le nombre de contacts entre la cible et le « pirate ». Pour cela, le pirate va utiliser plusieurs techniques et en premier lieu toutes les possibilités de récolter des informations telles : CSP, ages proches, milieux et habitudes urbaines, milieux professionnels comparables, filières scolaires (Ecoles, Universités, Grandes Ecoles….). Ces sources d’information proviennent en général des sites de networking (small worlds) tel Viadéo, Linkdin, Plaxo, Meetic, ebay, Facebook… Puis, le pirate va tenter de deviner les mots de passe faibles sur les sites visités par sa cible en le profilant littéralement sur Internet, comme le font les criminologues. En général, ces mots de passe sont toujours les mêmes pour un même utilisateur. Ainsi, le pirate va pouvoir obtenir une multitude d’informations personnelles sur cible. Il pourra par la suite établir le contact en se servant de « rebonds humains » par l’utilisation de relations de proches en proches. Puis il pourra créer une relation de confiance et sous un prétexte le plus anodin du monde, il amènera une cible sensibilisée sur un terrain contrôlé. Il provoquera une raison pour que cette cible se connecte depuis un PC dont le clavier est écouté… Une méthode simple pour prendre le contrôle des réseaux les plus sécurisés existants.

Utiliser par la suite les réseaux sociaux de manière plus avancée permettra de mettre en place un réseau de chantage à très vaste échelle en découvrant les secrets de nombreuses personnes puis en leur faisant du chantage. Ces personnes se retrouveraient ensuite à devoir « infecter » leurs connaissances sous peine de voir leurs secrets révélés. Une sorte de Ver social à grande échelle.

Le risque humain est la faille ultime

Le débat a montré que dans les grandes entreprises les menaces d’ordre technique sont aujourd’hui non seulement connues, mais en grande majorité résolues. Par contre, il n’en est pas de même dans les PME et surtout dans les « start-up ». En effet, entre le manque de temps et de moyen, la sécurité n’est pas appréhendée à sa juste mesure. Des aides à la sécurisation de ces entreprises devraient être offertes à ces entreprises par le gouvernement au même titre que les aides au développement des PME de type ANVAR... A quand un « Small Business Act » en France ?

Si les problèmes techniques peuvent être résolus, il n’en va pas de même des menaces générées par le facteur humain. Ainsi, une majorité d’actes de malveillance provient de l’intérieur des entreprises. Par exemple, dans une société, le simple fait d’avoir installé des caméras de surveillance a réduit le vol de plus de 90%. Mais, concernant cette menace, la formation, l’information mais aussi les sanctions peuvent être des solutions pour réduire ce risque. Toutefois, il n’y a pas encore de remède miracle.

Ce premier Concile de la sécurité a regroupé plusieurs DSI/RSSI et personnes sensibles qui vont, par leurs débats, tenter d’élaborer un livre Blanc des bonnes pratiques et tenter le périlleux exercice de définir le rôle du RSSI dans l’entreprise. Le contenu de ce livre blanc sera rendu public sur le site de NBS (www.nbs-system.com) tandis que le Concile pourra continuer à travailler dans un espace collaboratif privé en ligne.