novembre 28th, 2017

Noyé dans le flot des études de fin d’année, cette analyse du cabinet EY intitulée Cybersecurity regained : preparing to face cyber-attacks.

Mais ladite étude ne prétend pas dresser un tableau du champ de bataille de la SSI. Elle se penche surtout sur l’avis, le ressenti de responsables et de cadres d’entreprise qui ne sont pas nécessairement des spécialistes de la question. Or, il ne peut y avoir de bonne SSI sans une certaine compréhension de la vision qu’en ont les dirigeants, qu’ils soient à la tête d’une PME ou d’une multinationale.

Peu de surprise donc lorsqu’une grande partie du risque perçu (60%) est attribuée à des « careless or unaware employees ». L’erreur humaine n’est d’ailleurs pas très bien définie. S’agit-il d’une mauvaise politique de sécurité ou de l’usage abusif de ressources non protégées (ainsi Deloitte, Uber) ou est-ce un retour en force du sentiment de défiance envers les employés n’appartenant pas à l’infrastructure du S.I. l (fuites d’information involontaires par exemple, ou lanceurs d’alerte). Paradoxalement, le risque lié aux accès non autorisés est en perte de vitesse comparativement aux années précédentes (37%en 2017, 44% l’an passé), alors que les principales « grandes affaires de hack » ont été, ces 300 derniers jours, directement liées à des accès extérieurs particulièrement non autorisés.

Lorsqu’auprès de la population interrogée, l’on aborde la question de la menace, toute cohérence des propos disparaît. Ex-aequo, dans 64% des craintes, viennent le phishing et… les malwares. Les attaques internes arrivent loin derrière, citées dans seulement 25% des cas. Les notions entre risques et menaces sont donc clairement comprises. D’un côté la crainte fantasmatique, de l’autre la réalité des agressions quotidiennes.

Deux chiffres, cependant, viennent contrebalancer cette vision simpliste de la sécurité numérique : 17 et 89. 17% c’est la (très faible) proportion des comités de direction qui estiment posséder une certaine connaissance en matière de cybersécurité ou ayant une appréhension assez précise du risque cyber. 89 % estiment que leurs fonctions/dotations en cybersécurité ne correspond pas aux besoins de l’entreprise. En d’autres termes « effectivement, on n’y comprend pas grand-chose, et oui, nous sommes démunis ». C’est là peut-être le premier pas vers une véritable écoute des RSSI.

Chaque fin d’année, l’Owasp publie ses « 10 commandements » du développeur Web sachant sécuriser. Les erreurs humaines se suivant et se ressemblant, rares sont les bouleversements en termes de vulnérabilités potentielles. Le dernier classement fait mentir cette habitude.

Le tiercé gagnant des attaques est sans surprise : Injection, violation de session, XSS. Cela change à la quatrième place qui voit le retour d’un classique presque oublié, la violation du contrôle d’accès. Viennent ensuite les inévitables « config par défaut » et assimilées ainsi que l’accès aux données sensibles. L’actualité 2017 en a fourmillé. A la septième place, un genre de risque nouveau, la protection insuffisante aux attaques (autrement dit l’absence de mise en place de mécanismes automatiques ou manuels de détection, prévention et réponse à des agressions externes). Une manière comme une autre de plaider en faveur d’une généralisation des campagnes de test de pénétration et des outils d’application de correctifs automatiques. La huitième marche du podium est occupée par les attaques CSRF, la neuvième par l’exploitation de vulnérabilités référencées et non colmatées, et la dixième (ce sera la troisième nouveauté du classement) concerne les attaques visant les API. Une émergence, explique les techniciens de l’Owasp, par la généralisation des applications écrites en Javascript, lesquelles font appel à des API pour collecter des données. Or, sécuriser les API se heurte à deux écueils : l’hétérogénéité de plateforme entre l’émetteur de données (parfois distant) et l’application Web, et surtout la multiplicité des protocoles et plateformes (SOAP/XML, REST/JSON, RPC… ) qui rendent toute protection ou vérification par des logiciels de sécurité ou campagne de pentesting excessivement difficiles, voir impossibles.

Dans le but de toujours améliorer l’ergonomie des sites, les principaux administrateurs Web publics font appel aux bons offices de scripts fournis par des sociétés spécialisées dans l’analyse comportementale des usagers : hésitations dans la frappe clavier, curseur de souris désorienté, passage de pages en pages volontaire ou stochastique… une collection de réactions humaines qui passe par l’enregistrement des séquences de touches et mouvements de souris dans le but de « rejouer » les scenarii de visite.

Seulement voilà… cette analyse « discrète et anonyme » n’est pas anonyme du tout, affirme Steven Englehardt, chercheur à l’Université de Princetown. Son premier article, No boundaries: Exfiltration of personal data by session-replay scripts , passe en revue les six outils les plus utilisés par les 400 plus gros serveurs web de la planète.

Dans bien des cas, et contrairement aux affirmations des administrateurs de sites, chaque enregistrement peut être directement lié à la personne (ou au compte utilisateur, ce qui revient au même) ayant effectué la navigation. En outre, il est fréquent que les données capturées soient stockées en clair. Et ce que le script « Full Story » accepte de ne pas recueillir, celui de SessionCam, HotJar ou Yandex le capturera, au moins partiellement.

La grande majorité de ces scripts gardent la trace du nom, email, téléphone, adresse, numéro de sécurité sociale, date de naissance, numéro de carte de crédit, son CVC et sa date d’expiration. Seul le mot de passe est soit ignoré, soit masqué. Que l’un des services requérant ces informations en vienne à utiliser l’un de ses outils, et toutes les mesures de politique de sécurité qu’il pourrait déployer seraient vaines, car les outils donnant accès aux données collectées se font sur une page http (donc via un échange non chiffré) quand bien même la session utilisateur aurait eu lieu sur une page https. C’est le cas de Yandex, Hotjar et Smartlook. Cette « déprotection by design» s’étend même aux données contenues dans la page avec Yandex et Hotjar. De ce fait, une attaque Man in the Middle en aval de la console d’administration se transformera en session « open bar » pour tout collectionneur de données sensibles.

Hélas, même les outils installés côté client et prétendant garantir un « do not track » échouent en partie dans leur mission de préservation des données personnelles conclut Englehardt à la fin de son premier chapitre. Les épisodes suivants seront-ils aussi dramatiques ?

Le cabinet d’analyse Forrester publie une étude prospective sur l’évolution à court terme de l’Internet des Objets. Beaucoup d’évidences, mais certains pronostics semblent quelque peu hardis. Le tour de l’étude en 5 points :

– De plus en plus de développements IoT exploiteront des services interactifs vocaux… après Alexa, Siri et autres Cortana, ces techniques pourraient être intégrées par des acteurs de moindre importance. Hypothèse d’autant plus probable que rien n’interdit aux Gafa de revendre leurs technologies en marque blanche

– De nouvelles dispositions et règlementations en Europe autoriseront la commercialisation des données collectées par l’IoT… sur ce point, Forrester s’avance peut-être un peu. Certes, il ne peut exister de rentabilisation de l’IoT à très grande échelle que par le traitement Big Data. Mais en l’absence de tout opérateur Européen capable de jouer au Big Data, il est peu probable que les acteurs de l’Internet des Objets de la zone Europe fassent ce cadeau à leurs concurrents potentiels aux USA. A moins que cela ne fasse l’objet d’un accord de réciprocité, genre « mes données contre ton marché de l’IoT ». En outre, RGPD oblige, l’expatriation des données pourrait bien soulever quelques oppositions, tant des associations de consommateurs que des défenseurs des libertés individuelles et CNIL d’Europe.

– Malgré une croissance soutenue, le marché des IoT « haut-parleurs et montres intelligentes » va finir par se stabiliser et demeurer au stade du marché de niche. En d’autres termes, les « early adopters » geekesques ne peuvent constituer une preuve certaine de l’existence d’un marché. L’IoT ne sera pas un marché de yupies. Il y a fort à parier qu’Amazon ou Google ne partagent pas cette vision, les fameux « haut-parleurs » en question constituant le bras armé de leur réseau de vente.

– En revanche, c’est dans le domaine industriel que l’IoT aura sa raison d’être, là où le traitement par des datacenters et des Clouds internes pourra interagir avec des flottes de composants situés dans une proximité géographique restreinte. Limites fixées par des impératifs de simplicité d’administration/configuration, de sécurité, de maintenance, de temps de latence. En d’autres termes, une sorte de contrôle de processus industriel « 2.0 ».

– Il n’y aura pas d’IoT viable tant que les mécanismes de gestion, monitoring, contrôle et mise à jour à distance ne seront pas intégrés aux objets eux-mêmes. Non seulement c’est là la seule voie vers un abaissement des coûts d’administration et de gestion de parc, mais encore c’est la seule issue envisageable si l’on ne souhaite pas que le déploiement d’IoT ne s’achève en un véritable cauchemar en termes de sécurité informatique. Comme cela n’arrivera pas du jour au lendemain, il est à parier que 2018 aura son lot de compromissions spectaculaires, pires, prédisent les analystes, à ce que l’on a connu jusqu’à présent.

Des web services pour les barbouzes : le blog AWS explique comment Amazon a pu ouvrir un service cloud pour la CIA et les services US de renseignements. Les Shadow Brockers piaffent d’impatience.

Selon Marc Laliberte, Watchguard, dans les colonnes du HNS , les auteurs de malware préfère utiliser de l’exploit « réutilisable » à l’efficacité reconnue (donc potentiellement détectable), pour mieux se concentrer sur les mécanismes de camouflage et de furtivité.