Black Hat Europe : les entreprises doivent modéliser les menaces offensives

Afin de mieux défendre leurs systèmes informatiques, les entreprises doivent bien sûr s'armer techniquement, mais elles doivent aussi prendre en compte la menace physique, en s'inspirant notamment d'une technique dite de modélisation des menaces offensives, telle que la préconisent deux experts en sécurité. Ceux-ci se sont exprimés lors de la conférence Black Hat Europe qui se tient actuellement à Amsterdam (14-16 Mars 2012).

Si la plupart des entreprises technologiques testent et évaluent les faiblesses techniques de leurs systèmes pour en repérer les failles informatiques éventuelles, « elles devraient également prendre plus sérieusement en compte l'hypothèse d'une attaque physique. » C'est ce que pensent en effet Rafal Los, évangéliste sécurité de Hewlett-Packard, et Shane MacDougall, associé principal du cabinet de conseil en sécurité Tactical Intelligence, lesquels ont donné une conférence commune pendant la Black Hat Europe d'Amsterdam.

Plutôt que de se mettre dans le rôle du gentil pirate qui traque les méchants, les « white hat hackers », c'est-à-dire ceux qui prône la divulgation des failles plutôt que leur exploitation, les testeurs en intrusion feraient bien d'enfiler les vrais habits de l'attaquant afin de considérer d'autres menaces, peut-être un peu négligées, en mettant à profit un outil de modélisation des menaces conventionnelles. « Les individus peuvent être assez imprévisibles, sauf si l'on essaye de les comprendre», a expliqué Rafal Los, pour qui « les salariés sont souvent le maillon faible, quand il s'agit de sécurisation des réseaux et des applications.

Attention aux épanchements dans les bars

Pour Shane MacDougall, il y a plusieurs façons de mettre en défaut la sécurité. « Si le personnel du département informatique se retrouve dans un bar, rien ne dit qu'un attaquant potentiel ne va pas se joindre à eux, » a-t-il fait valoir. Selon lui, « ils peuvent par exemple utiliser les médias sociaux pour surveiller les déplacements de leurs « amis» en temps réel. » L'attaquant potentiel peut payer à l'équipe quelques coups à boire, jusqu'à la mettre dans un état d'ébriété suffisant, et attendre le bon moment pour mettre son projet à exécution. « Par exemple, dans la nuit suivante, il peut planifier une attaque sur le réseau de l'entreprise visée, et profiter du défaut de vigilance de l'équipe, estimant qu'elle mettra plus de temps à contrer son action, » a-t-il expliqué.

Selon les chercheurs, d'autres méthodes peuvent être utilisées pour compromettre la sécurité d'une entreprise, comme le chantage, la corruption, le guet-apens sexuel ou encore l'addiction au jeu. Par ailleurs, les attaquants pourraient cibler les espaces privés de certains dirigeants ou procéder à ce qu'on appelle des attaques d'ingénierie sociale pour cibler les employés. « Les salariés mécontents sont vraiment faciles à trouver, » a affirmé l'évangéliste de HP. Mais, toujours selon lui, des salariés dévoués pourraient également être utilisés pour recueillir des informations sur l'entreprise, l'attaquant se faisant passer pour un client ou un fournisseur.

Hiérarchiser les menaces et les cibles potentielles

Pour tester ces faiblesses, Rafal Los et Shane MacDougall conseillent de dresser, sur un tableau blanc, la liste de toutes ces failles possibles, aussi bien physiques que techniques. Puis, selon eux, des testeurs en sécurité devraient hiérarchiser les cibles selon leur importance, par exemple les employés qui touchent des salaires élevés, ou des biens qui ont une valeur importante, sans oublier les plus hauts cadres dirigeants et le personnel de sécurité, mais aussi les personnels de vente, les vendeurs et le personnel affecté au support technique. Selon eux, « tous représentent un accès potentiel à l'entreprise ou sont susceptibles de livrer des informations sur les accès possibles. »

[[page]]

Cette liste de cibles potentielles peut ensuite être découpée en plusieurs approches offensives, de manière à bien identifier les failles dans un système de sécurité global. La liste des risques possibles comprend aussi bien ceux visant les membres de la famille, les risques pendant les loisirs, les conférences, à quoi il faut ajouter une analyse comportementale et un profilage psychologique et sociologique, entre autres. Quand ce travail est fini, les experts estiment qu'il est possible d'évaluer toutes les menaces possibles. Il faut s'assurer aussi de disposer du calendrier des maintenances informatiques. « Chaque année, nous remarquons que si la vigilance de systèmes très sécurisés baisse ne serait-ce que pendant quelques secondes, ceux-ci sont piratés. Peut-on vraiment croire à un simple accident ? » a déclaré Rafal Los.

L'étape suivante consiste à tester les situations listées. Les attaques peuvent se produire sur site. Il y aussi les attaques techniques et d'ingénierie sociale. Selon Shane MacDougall, « il faut identifier le risque que fait courir chaque utilisateur dans l'entreprise. » Le risque peut aussi se produire dans les conférences. « Les salariés participants peuvent se faire voler leur smartphone ou leur badge d'entrée et quelqu'un peut les utiliser pour s'introduire dans l'entreprise», a-t-il déclaré. Les experts en sécurité ont souligné que certaines des méthodes exposées dans leur discours sont « illégales et contraires à l'éthique ». Ils ne les approuvent pas, mais leur objectif est de se mettre dans la peau de pirates offensifs et imaginer comment ils pourraient agir, afin de réagir efficacement à leurs attaques.

Après la phase de tests, il est nécessaire d'analyser les résultats. Selon les deux chercheurs, l'enquête doit se faire de manière continue, et doit être répétée de temps à autre. «Le suivi est essentiel», a déclaré Shane MacDougall. Selon les chercheurs, les personnes qui ont commis des erreurs pourraient perdre leur job, même s'ils pensent que dans la plupart des cas ce serait inutile ou inefficace. « Je ne préconise jamais de se séparer d'un maillon faible », a déclaré Shane MacDougall. « Il peut aussi y avoir dans ce cas un risque de représailles et d'effet boomerang. »