Nos données informatiques en état de siège


Nelson Dumais - 15/04/2010

Il y a des gens qui vont à Las Vegas pour se dépayser radicalement, pour s’offrir des souvenirs inoubliables, pour se marier (hum!) ou pour goûter au parangon de la démesure états-unienne. Quant à moi, j’y suis pour assister à la conférence Vision 2010 de Symantec, où l’on fait état des dangers qui guettent les données des organisations.

Las Vegas – Je suis présentement dans la capitale du jeu et des conférences du Nevada et tout ce que j’y fais, c’est me promener de salles de conférence en salles de réunion et en auditoriums, en passant par des restos, où sont embusqués de redoutables VP exécutifs à messages, et ma chambre d’hôtel équipée pour une famille de quatre, le tout sous fond de machines à jeu et de tables pour engraisser le mauvais sort. Pour être franc, au bout de trois jours, je n’ai pas encore pu sortir du MGM, mais je suis devenu une tête reconnue dans la faune de Vision 2010, l’événement annuel que Symantec destine à ses clients et partenaires.

Connaissant superficiellement ce géant mondial de la sécurité informatique, j’ai tout d’abord eu du mal à croire ce qu’on m’affirmait, à savoir qu’aujourd’hui, les entreprises sont constamment sous attaque! Elles sont dans le collimateur de bandes de criminels bien organisées à la recherche de propriété intellectuelle, de données stratégiques et de secrets industriels dans le but d’en faire le commerce ou d’honorer un contrat.

Constamment sous attaque

« Toutes les entreprises sont visées, incluant Symantec », affirme son PDG Enrique Salem, référant à une étude tenue récemment auprès de quelques milliers de corporations, lesquelles, à raison de 75 %, reconnaissent avoir subi des cyberdommages (cyberlost). Il ne faut pas nous leurrer, ajoute-t-il. « Les mauvais garçons ne sont plus des brutes qui fracassent une vitre d’auto pour la voler. Ils ont appris à en faire le tour discrètement jusqu’à ce qu’ils découvrent une portière non verrouillée. »

Si les gens de Symantec parlent aussi ouvertement de cette sordide réalité, c’est qu’ils estiment avoir des solutions. J’en déduis que cette société n’est plus celle des boîtes jaunes de Norton Security ou de Norton Ghost. Elle est devenue une intervenante apparemment importante auprès de la moyenne et grande entreprise (plus des deux tiers de son chiffre d’affaires) cela grâce à une gamme complète et symbiotique de produits de sécurité, grâce aussi à de nombreuses acquisitions, certaines étant majeures: Veritas (décembre 2004), Sygate (août 2005), Altiris (janvier 2007) et MessageLabs (octobre 2008).

Mieux, cette panoplie peut être fournie sous forme de service Web, c’est-à-dire de SaaS (Software as a Service), ce qui nous ramène au fameux nuage du Cloud Computing, une évolution symantécoise dont j’ignorais complètement l’existence. Bref, la multinationale de Mountain View a maintenant rejoint les autres grands de ce monde; comme l’ont chanté Hendrix et Sting, « she’s walking in the clouds ».

Et on l’écoute. Son expertise qui est grande ne date pas d’hier. Rares sont ceux qui, au cours des 20 dernières années, n’ont pas installé Norton Antivirus au moins une fois dans leur ordi. Sa base de données en ce qui a trait aux virus, chevaux de Troie et autres bébittes déplorables est légendaire. Sauf, me répète-t-on de part et d’autre, qu’il n’y a plus de virus. Tout comme il n’y a plus de charge, sabre au clair, dans les guerres modernes. Trêve de romantisme; on vit maintenant à l’heure du « malware » criminel. Les ti-culs cherchant l’exploit qui leur conférera renommée et job bien rémunéré dans une banque ou chez Symantec font désormais partie du folklore.

Mode opératoire efficace

Un exemple que l’on me sert aux dix minutes (j’exagère à peine) est celle de Hydraq, l’innommable chtouille qui, en février dernier, a valu à Google (ainsi qu’à une centaine d’autres entreprises, affirme-t-on ici) d’être truandées par de soi-disant Chinois. Soi-disant? Les traces découvertes semblaient pointer vers l’Empire du Milieu, mais on n’écarte pas l’hypothèse de fausses traces créées de toutes pièces pour leurrer les investigateurs.

Symantec a épluché ce genre d’attaque et en a tiré un modèle qui s’exécute toujours en quatre points logiques : l’incursion, la découverte, la capture et la fuite.

Phase 1- L’incursion

Le maliciel de 2010 n’est pas le virus à papa des années 90. L’idée n’est plus d’attaquer et d’infester le plus grand nombre de gens possible. L’objectif est maintenant de cibler parfaitement bien une personne et de s’en servir pour s’infiltrer au travers les lignes de défense. Par exemple, le jour de travail suivant l’acquisition de l’entreprise B par l’entreprise A, les employés reçoivent un courriel leur demandant de souscrire à un nouveau plan de santé pour lequel ils doivent fournir certaines infos personnelles. Ici on est en plein hameçonnage.

Mais souvent, on se sert d’un profil Facebook où le proprio, imaginons un cadre d’entreprise, se vante, par exemple, d’avoir présenté une conférence où la critique a été élogieuse. Pourquoi cette page Facebook? Parce que ce cadre appartient à une entreprise où, dans les six mois précédents, il y a eu une brèche quelque part qu’on a réparé et tapissé de rustines, ce qui correspond au profil de 80 % des boîtes ciblées. Il y a présomption de faiblesses; il y a des possibilités de pénétration.

Dès lors, les malfaiteurs qui se sont débrouillés pour connaître (ou pour déduire) le système d’adresses de courriel particulier à cette organisation, envoient au cadre trop exposé des messages de félicitations en provenance, soi-disant, de collègues ou de supérieurs. Il suffit que l’un d’eux l’atteigne, celui où on aura joint une photo de notre victime prétendument prise durant sa conférence, photo bien entendu truffée de code malicieux. En l’ouvrant, le malheureux permet à la sournoise bête de s’introduire, ni vu ni connu, dans l’entreprise. Jusqu’ici, rarement plus de cinq PC sont en cause, ce qui est la norme pour ce genre d’opération. On est loin du vers ILOVEYOU de 2000 qui avait infesté des dizaines de millions d’ordinateurs.

Phase 2 – La découverte

Ce qui est effrayant, c’est qu’une fois infiltrée, la «chose» prend bien son temps; rien ne la presse plus. Dans le cas de la Heartland Security, elle a même séjourné subrepticement pendant un an sans se faire remarquer par les systèmes de sécurité. Épeurant ! Les entreprises ne semblent pas capables de renforcer de façon consistante, les politiques maison de blocage et de destruction des « objets malicieux » sur tous les serveurs, une pratique déficiente que connaissent très bien les méchants. De plus, « l’engeance » est furtive; elle sait se tapir sans attirer l’attention. La défense ne la remarque pas.

Phase 3 – La capture

Puis, la «créature» finit par repérer ce pour quoi elle est à l’affût, soit, dans le cas de la Heartland, un nombre sans précédent de numéros de carte de crédit. Subrepticement, elle s’en s’en approche, s’en empare et, sans demander son reste, tente un Home Run. Elle déguerpit aussi vite qu’elle le peut sans soucier du bordel qu’elle déclenche.

Phase 4 – La fuite

Elle sait qu’à ce stade, aucun logiciel en place ne peut la bloquer et l’empêcher de ramener ses infos à la maison. Eut-elle été décelée, qu’elle se serait dès lors multipliée à la vitesse de la lumière dans toutes les directions, incluant dans des clés USB, cela dans l’espoir de ramasser « quelque chose de payant » avant que tous ses cauchemardesques rejetons ne soient annihilés. On se croirait dans « Alien » du réalisateur James Cameron !

Minimiser les risques

Une des raisons évoquées par Symantec pour expliquer une déconvenue aussi majeure, c’est l’absence de vision globale due à l’utilisation de produits de type « Best of Breed » qui, pour être généralement très bons, sont incapables de fournir un tableau d’ensemble n’étant pas de la même écurie. S’ils l’étaient, p. ex. s’il s’agissait d’une panoplie finement tissée de Symantec, les gens des TI pourraient remarquer, en temps réel, les anomalies en train de se produire et pourraient agir avant qu’il ne soit trop tard. Shlack !

Dans l’Ancien Monde (c’est ainsi que l’on appelle l’époque des virus chez Symantec), les alarmes servaient à indiquer que l’on était infecté d’un virus. Dans le Nouveau Monde, elles agissent comme un glas qui sonne pour les données que l’on vient de se faire voler.

Au mieux, si on est vraiment bien organisé, si on a su prioriser les données les plus stratégiques en les entourant d’un périmètre de sécurité infranchissable, on sauvera l’essentiel, c’est-à-dire la raison d’être de l’entreprise. De plus, si on s’est adonné à la « déduplication » (archivage intelligent) qui permet d’éliminer des tombereaux d’images de données, on aura minimisé le risque de s’en faire voler une.

Malgré toutes ces mesures, il est normal de penser que l’on se fera quand même défoncer ailleurs. Les porte-parole de Symantec soutiennent qu’il est impensable de tout bloquer; des brèches surviendront et ce sera normal. Rappelons-nous que les attaques sont constantes, que la masse des données double tous les deux ans (vivement la déduplication!), mais que les budgets des TI augmentent rarement. Pas jojo comme perspective !

« Il est choquant de constater que nous vidons des tours à bureaux au Centre Ville dans des simulations d’incendie, mais qu’on ne fait rien pour se pratiquer en cas de cyberattaque majeure », me dit le grand patron du groupe Enterprise Security chez Symantec, Francis deSuza.

Nelson Dumais est journaliste indépendant, spécialisé en technologies de l’information depuis plus de 20 ans.