vendredi 11 février 2011

Sécuriser..un dur travail ! (réflexion sur Night Dragon)

Une fois encore, nous voilà gratifiés d'un nom à la consonance drolatique pour qualifier un ensemble d'attaques informatiques à priori complexes.

Ce blog ne peut prétendre disposer des éléments permettant d'infirmer ou d'affirmer quoi que ce soit. Je remarquerais cependant que l'on persiste à attribuer tout cela à la Chine mais que les preuves ne sont pas toujours probantes.

Toutefois, en tant que "professionnel" de la sécurité, les éléments du scénario mis en avant dans ces attaques sont très intéressantes et méritent à mon sens, le débat. En effet, ils représentent pour moi l'ensemble des problématiques de sécurité auxquelles on est parfois confronté lorsqu'on travaille justement pour des systèmes de ce type.

Le contexte déjà : il s'agit de compagnies, donc des entités à but commercial souhaitant vendre leurs produits ou services, ici de l'énergie notamment. Elles disposent à cet effet de sites webs permettant de gérer le marketing, les offres, les clients, les paiements...Je vous engage à aller vérifier si les nôtres ne font pas de même...:D

Plus encore, force est de constater qu'une compagnie exploitant de l'électricité ou des sources d'énergie n'a pas comme cœur de métier l'informatique ! Souvent donc, ces entreprises font appel à des hébergeurs ou des compagnies gérant pour elles tout ou partie de leur système de gestion. Cela est tellement vrai que l'ANSSI a, par exemple, publié un Guide de Bonnes pratiques de l'hébergement...

On remarquera qu'il n'est pas nécessaire d'avoir un tel site pour subir de telles attaques. Un simple site institutionnel gérant par exemple les candidatures ou autres peut avoir les mêmes effets...

Enfin, l'usage immodéré du web dans les transactions commerciales et la gestion du client désignent généralement des systèmes complexes possédant en apparence et, pour le quidam, un simple site web "cachant" une cascade de serveurs complexes, bases de données, "gros" système...

Soyons donc clair : le contexte n'est pas une invention mais bien une réalité.

Reprenons les grandes étapes du scénario :

=> Compromission du serveur web : c'est évidemment quelque chose de plus en plus commun comme le montre non seulement les nombreuses failles de sécurité qui paraissent mais également les informations en provenance de la communauté de sécurité. Par ailleurs, il faut noter qu'il est parfois complexe pour l'hébergeur d'intervenir sur ces aspects car on entre directement dans le métier du client ! Cela renforce donc la probabilité de failles qui persistent si celui-ci n'est pas passionné par la sécurité !

=> Élévation de privilèges et accès aux zones réseaux mieux protégées : de même, cela demeure une constante dans les résultats des audits. La possibilité de rebondir une fois les protections périmétriques évitées est très forte. Une fois encore, cela se déroule à la limite des périmètres de responsabilité du client et de l'hébergeur, c'est donc difficile de la corriger parfois.

=> Capture des mots de passe : encore une fois, cela fait partie des "classiques". Cela suppose que l'hébergeur a une maturité de sécurité "moyenne" et qu'il utilise des outils de protection "moyens"...Les mots de passe se répètent parfois, les accès ne sont pas toujours chiffrés et authentifiés car les administrateurs sont surchargés. Ici, contrairement au premier niveau, la responsabilité incombera plus souvent à l'hébergeur. Toutefois, le client est parfois fautif car ses propres accès, qu'il aura demandé ne seront pas toujours sécurisés.

=> Je passerai sur les deux étapes suivantes car une fois l'accès au réseau interne et la détention de droits et mots de passe usurpés de type "administrateur", les opportunités offertes aux attaquants sont très grandes.

Je préférerais m'intéresser ici aux capacités de détection et de réaction des attaques car cela est particulièrement difficile. Il est plus compliqué qu'on ne le croit d'être averti que l'on est sous le coup d'une attaque car les assaillants peuvent se montrer très discrets, afin de persister, et effacer leurs traces.

Cela suppose donc à la fois une attitude attentive et proactive en matière de surveillance des réseaux et des comportements des machines et c'est là une vraie difficulté car cela suppose en général une maturité élevée en matière de sécurité.

Je conclurais l'analyse de l'attaque en attirant l'attention du lecteur sur la provenance des failles, souvent entre deux périmètres de responsabilité, celui du client et celui de l'hébergeur. Or, les relations ne sont pas toujours au beau fixe et avancées, causant de fait, des vulnérabilités. Il est donc particulièrement important, dans ce cadre de relations, d'avoir prévu des nombreux mécanismes certes mais également, d'entretenir une relation structurée et constante entre les responsables sécurité des deux entités..

Comme je le disais, je n'ai que peu d'éléments sur la véracité de ce scénario ou de ces éléments de contexte. Toutefois, je note la profonde cohérence de composantes du scénario qui m'ont inspiré ces quelques réflexions. J'espère qu'elles auront apporté quelques éléments d'informations à certains de mes lecteurs et créé, éventuellement, un débat serein parmi les autres...

A vos réactions !

Source :

http://www.zdnet.com/blog/security/hacking-attacks-from-china-hit-energy-companies-worldwide/8119

Aucun commentaire:

Enregistrer un commentaire