Allez au contenu, Allez à la navigation

Sécurité numérique et risques: enjeux et chances pour les entreprises

2 février 2015 : Sécurité numérique et risques: enjeux et chances pour les entreprises ( rapport de l'opecst )

CHAPITRE VI - LES FAILLES ET LES ATTAQUES NUMÉRIQUES COMPROMETTANT LA SÉCURITÉ DES ENTREPRISES

Après avoir décrit le milieu hostile dans lequel évoluent les entreprises, pas toujours à même de concevoir leur sécurité numérique, incluant des vulnérabilités matérielles ou humaines et des attaques de natures différentes contre le système d'information des entreprises, vos rapporteurs ont choisi d'examiner plus particulièrement les attaques complexes et les attaquants chevronnés puis les moyens d'anticiper ces agressions et d'y faire face.

I. UN MILIEU HOSTILE

Au-delà des failles de sécurité inhérentes aux réseaux ou aux produits numériques utilisés et de l'exploitation de ces failles au cours de cette utilisation déjà mentionnée aux chapitres précédents, les quelques exemples ci-après, relevés dans l'actualité, montrent que ces failles peuvent être contenues dans des produits numériques très grands publics auxquels l'accoutumance a fini par donner un air familier, et donc une aura de sécurité parfois trompeuse.

La presse se fait de plus en plus l'écho de la découverte de failles de sécurité numériques significatives.

« Comment éviter d'être victime sur le web de la faille de sécurité « Heartbleed ». Touchant des sites populaires, ce bug nécessite de changer ses mots de passe. » Le Monde -
13-14 avril 2014.

« Une faille de sécurité découverte dans le navigateur Internet de Microsoft. Un défaut permettrait une exploitation à des fins malveillantes d'Internet Explorer. » Le Monde - 30 avril 2014.

Ces failles peuvent également exister au coeur des entreprises voire même des États.

« Lorsque le ministère de l'économie et des finances a été attaqué à la veille d'un sommet entre chefs d'État, il avait été jugé que cela n'était pas un sujet marginal même si aucun chiffrage n'avait pu être donné en termes d'impact.»

[...]

« L'attaque par le virus Stuxnext contre les centrifugeuses du complexe militaro-industriel iranien a cassé la constitution d'une force nucléaire ; de même, Saudi Aramco a eu 30 000 ordinateurs détruits. »

M. Jean-Marie Bockel

Sénateur, membre de la Commission des affaires étrangères, de la défense et des forces armées du Sénat
5 février 2014
Auditions. Tome II du présent rapport

Mais qu'est-ce au juste qu'une faille de sécurité numérique ? D'où peut-elle provenir ? Les développeurs de logiciels, les concepteurs de matériels et réseaux, ou les matériels et réseaux en eux-mêmes sont-ils seuls responsables ? Les usagers du numérique ont-ils leur part de responsabilité dans l'exploitation de ces failles ?

Comme l'enjeu de l'entreprise est de développer sa capacité à inventer et créer, par l'échange, l'entreprise apporte une réponse à ce défi ; elle crée de la richesse, produit, vend, communique, évolue. Néanmoins, ces enjeux sont également ceux de ses concurrents, voire de ses ennemis, des individus ou des organisations hostiles avec lesquels elle échange et contre lesquels elle devra lutter.

Au sein d'un tel écosystème où la technologie devrait être l'atout incontesté des entreprises, les aider dans leur décision, accélérer leur production, les guider dans leurs achats, porter leur image, assurer leur cohésion, le rôle que joue parfois la technologie est encore incertain. Qui la maîtrise ? Peut-elle devenir une menace sérieuse pour la productivité de l'entreprise ?

Qui sont les victimes ? Tous les acteurs des sphères sociétales mais également tous les acteurs de la sphère technologique. Des éditeurs de logiciels aux fabricants d'objets connectés, tous sont susceptibles de devenir des victimes.

Qui sont les gagnants ? Les cybercriminels ou les organisations en réseau, toujours plus ingénieux pour exploiter l'immaturité des technologies, développent leurs activités dans le cyberespace tandis que ces menaces entraînent également des gains énormes pour d'autres acteurs.

A. LES VULNÉRABILITÉS

Les uns les exploitent, les autres les subissent. Gagnants ou victimes, ils ont tous en commun leurs liens avec les vulnérabilités des systèmes numériques. La connaissance actuelle sur ces vulnérabilités est immense et la façon dont est organisée cette connaissance a été largement étudiée.

« La plupart du temps, on se rend compte que la conception des systèmes est suffisante en termes de sécurité, car de nombreuses attaques ne sont pas très « fortes ». Elles deviennent performantes dès lors que l'architecture d'ensemble n'a pas été bien pensée. Il faut diffuser la culture de sécurité parmi les entreprises, et particulièrement les PME, qui présentent une vulnérabilité particulière. »

M. Jean-Luc Beylat,
Président,
Pôle Systematic Paris-Région

26 juin 2014
Auditions. Tome II du présent rapport

1. Les vulnérabilités et menaces

Une vulnérabilité caractérise un état défaillant accidentel ou intentionnel provoqué, lors de la conception, du développement ou encore durant les opérations d'exploitation du système d'information et susceptible d'être exploité par un individu malveillant. La vulnérabilité est portée par la cible.

La notion de vulnérabilité peut souvent entraîner des confusions avec celle de menace (threat). La vulnérabilité peut être considérée comme figée face au phénomène qui la révèle alors que la menace est un état qui dépend du contexte dans lequel évolue la cible. Ainsi, une faute de développement sur un logiciel est-elle une vulnérabilité alors qu'une faute de développement intentionnellement provoquée par un développeur concurrent sera une menace.

Schéma n° 71 : Comparaison du modèle entrepreneurial de risque complet menace / vulnérabilité / attaque avec le modèle numérique

Source : OPECST

Le schéma ci-dessus présente un modèle de menace/vulnérabilité/attaque parmi la multitude qui existe, dont la nature dépend de nombreux paramètres. Autant la détection de menaces en nombre infini peut se révéler impossible, autant la détection de vulnérabilités liées aux systèmes peut être structurée.

Dans cette optique, l'identification des vulnérabilités repose sur un processus complexe d'analyse.

Les propriétés de sécurité reposent sur le maintien de la disponibilité, de l'intégrité et de la confidentialité. Une vulnérabilité sera évaluée en fonction de sa capacité à être exploitée par un individu malintentionné.

Par ailleurs, l'identification d'une vulnérabilité s'effectue bien souvent après un premier effet car la découverte d'une vulnérabilité est longue, complexe, onéreuse et parfois liée au hasard.

 En outre, une vulnérabilité peut avoir un effet local d'origine globale. Par exemple, un sous-traitant est sollicité pour paramétrer un logiciel réputé fiable pour le compte d'une entreprise mais, lors de cette adaptation par le sous-traitant, une vulnérabilité inédite apparaît.

Enfin, certains acteurs pourraient trouver un intérêt à développer un climat de méfiance vis-à-vis de certaines technologies concurrentes des leurs, ou, au contraire, à masquer la présence de certaines vulnérabilités.

« Il n'est pas rare de trouver des vulnérabilités suspectes qui ressemblent bien plus à des portes dérobées (backdoors) laissées volontairement. C'est, par exemple, le cas d'un certain nombre de commandes cachées par les opérateurs (notamment Huawei), qui permettent de réactiver ou de désactiver certaines fonctionnalités à distance. »

M. Badi Ibrahim,
Directeur des opérations, P1 Security

26 juin 2014
Auditions. Tome II du présent rapport

Pour toutes ces raisons, la détection de vulnérabilités et leur diffusion doit être mutualisée voire effectuée par un service institutionnel.

2. La veille comme processus d'analyse des vulnérabilités

Le principe de la veille est né aux États-Unis d'Amérique vers la fin des années 1980 à la suite d'incidents de sécurité informatique.

« Dans le cadre du projet 2Centre, les besoins en formation liés aux nouveaux métiers de la sécurité ont été recensés comme, par exemple, celui de disposer de personnes qui vont intervenir sur les incidents, d'analystes également en charge de la veille, de testeurs d'intrusion - pour trouver les failles avant les attaquants - et, également, d'ingénieurs en charge de la réponse aux incidents, pour les CERT - comme il y en a dans les grandes entreprises, comme, par exemple, les banques (la Société Générale, la Banque de France, ou autres). L'ANSSI envisage de recruter environ deux cents spécialistes de la sécurité tandis que les effectifs du Centre d'analyse de lutte informatique défensive (CALID) de la DGA, devraient passer de quarante à quatre-vingts personnes très prochainement.» En effet, pourquoi attendre d'être attaqué ? Le centre de la DGA sert justement à repérer les failles avant d'être attaqué et à riposter. »

M. Reza El Galai
Ingénieur projet cybersécurité, Conférence des directeurs des écoles françaises d'ingénieurs (CDEFI)
19 mars 2014
Auditions. Tome II du présent rapport

a) Les acteurs de la gestion des incidents

Dès cette époque, l'organisation de la gestion des incidents a été mise en place afin de permettre un enrichissement communautaire des vulnérabilités des systèmes informatiques.

Parmi les principaux acteurs et organismes qui ont déployé des efforts pour y parvenir doit être mentionné en premier le National Institute of Standards and Technology (NIST) accompagné du Mitre, organisme à but non lucratif concentré sur l'identification mondiale des failles de sécurité.

Depuis octobre 2014, le Mitre, proche du Massachussetts Institute of Technology (MIT), gère les listes de vulnérabilités pour le NIST. Le Mitre est historiquement une entité sans but lucratif ayant pour mission de fournir l'ingénierie technique pour le gouvernement nord-américain avec un focus sur les besoins de défense. Avec le NIST, le Mitre aide les entreprises à sécuriser leurs infrastructures et données critiques en encourageant une collaboration public/privé pour identifier et résoudre les menaces complexes de la cybersécurité.

De leur côté, les éditeurs de logiciels dont les développements sont à l'origine des failles s'emploient à corriger celles-ci.

Enfin, les CERT/CC (Computer Emergency Response Team Coordination Center), organismes spécialisés et agréés, interviennent en urgence sur les incidents de sécurité informatique.

Les CERT sont organisés et certifiés en vue d'accomplir les activités suivantes :

- centralisation des tickets d'incidents de sécurité sur les réseaux et les systèmes d'information ;

- analyse et traitement des incidents : solutions, échanges d'informations, études techniques ;

- enrichissement de la base de vulnérabilités ;

- diffusion d'information sur les mesures et les bonnes pratiques ;

- coordination des actions avec les autres acteurs impliqués dans l'incident.

Les professionnels de la sécurité sont des utilisateurs des informations fournies par les CERT ;

Le site des « bugtraq » du « SecurityFocus » est destiné à la publication grand public des « bugs » et failles.

b) Processus d'enrichissement des connaissances

Le schéma ci-après présente le flux de traitement des vulnérabilités au sein de l'écosystème failles/attaques/correctifs.

Schéma n° 72 : Écosystème failles / attaques / correctifs

Source : OPECST

L'éditeur de logiciel ou le constructeur d'équipement détecte une faille à partir d'informations réseaux (1), puis analyse cette faille. Afin de permettre un déploiement à grande échelle, il diffuse également l'information auprès du SecurityFocus sous forme d'un bulletin d'information encore appelé bugtraq, il informe également les CERT.

À partir de cette étape, la mise à jour du correctif sera suivie par le bugtraq, comme le représente, dans le schéma ci-après, le champ « update ». Le bugtraq est transmis au Mitre symbolisé par la base de référence CVE afin d'associer un identifiant unique à cette faille.

Le Mitre détient de cette façon une liste exhaustive à l'échelle mondiale des vulnérabilités. Le Mitre énumère les vulnérabilités dans un format universel : (CVE, Common Vulnerabilities and Exposures), les référence et les diffuse vers les CERT et le site du SecurityFocus (3). Dans le schéma ci-après, dans la fiche de droite (3e ligne), le champ « CVE » représente ce genre d'identifiant.

Schéma n° 73 : Référencement d'une vulnérabilité CERT-SecurityFocus

Source : Internet

La vulnérabilité une fois référencée, une relation s'instaure entre ces différents acteurs avec, au centre, l'éditeur de logiciel pour engager la correction de la vulnérabilité.

Dans le second scénario (2, dans le schéma de l'écosystème failles/attaques/correctifs), seul le point d'entrée change puisque le bugtraq est motivé par une alerte issue de « logs » de détection d'intrusion. Cela signifie que, dans le scénario 2, l'incident est un incident de sécurité.

Schéma n° 74 : Le CERT-FR valide la vulnérabilité découverte initialement

Source : CERT

c) Identification des vulnérabilités

Dans sa mission globale, le Mitre est chargé d'attribuer les numéros d'identification des vulnérabilités. Le processus est celui d'un processus d'adressage au niveau mondial à l'aide d'une gestion centralisée. L'identifiant repose sur trois champs : le préfixe CVE, l'année, et un numéro d'ordre dans l'année.

Schéma n° 75 : Identifiant CVE à partir du site du Mitre

Source : MITRE

d) Classification des vulnérabilités

Le référencement des vulnérabilités à l'échelle mondiale est l'atout des acteurs de la cybersécurité dans leur démarche défensive, tout du moins il le deviendra à condition d'en permettre leur exploitation.

Schéma n° 76 : présentation des classes de base d'une vulnérabilité

Source : CERT

Depuis plusieurs décennies, ces acteurs, le Mitre, le NIST, SecurityFocus, se sont penchés sur la question des vulnérabilités ; de nombreuses classifications ont émergé. Actuellement, comme le présente la page du site du Mitre ci-dessus, on dénombre plus de vingt-trois classes de base pour décrire les vulnérabilités. En particulier, la classe Cross-Site Scripting (XSS, à la huitième ligne de la liste figurant dans le schéma ci-dessus) à l'origine de nombreuses attaques.

Cette classification évolue ; dernièrement, le NIST a proposé un nouvel identifiant CVE avec de nouvelles classes et prépare par ailleurs une classification destinée à la gestion des activités au sein d'un centre d'informatique en nuage.

3. La vulnérabilité dite « zero-day », à corriger en zéro jour

Une vulnérabilité zero-day est une vulnérabilité nouvelle, découverte à l'occasion de son exploitation par un attaquant. Elle est souvent présente dans un logiciel et est généralement liée à une erreur de programmation simple, mais elle peut également se révéler dans un système ou un équipement.

Elle se nomme zero-day parce que la correction logicielle de la vulnérabilité n'est pas disponible ou n'a pas pu encore être testée pour son application au moment où elle est découverte. Le développeur en charge du correctif possède le minimum de temps, soit zéro jour, afin de proposer au plus vite aux usagers une solution fiable et enrayer la propagation de l'attaque. Jusqu'à l'introduction du correctif, la vulnérabilité sera dite zero-day.

Lorsque le scénario 1 du schéma ci-dessus intitulé « écosystème failles/attaques/correctifs », est utilisé, pour de multiples raisons, il est possible de ne pas révéler la faille, la vulnérabilité dite zero-day.

Comme toujours, une faille de sécurité suscite également de nouvelles formes d'exploitation, on parle de nouveaux modèles d'affaires. La découverte d'une vulnérabilité peut se monnayer auprès de gouvernements souhaitant mener une cyberguerre ou d'organisations animées d'intentions malveillantes. En effet, une faille non publique qui ne sera pas corrigée par l'éditeur de logiciel ou le programmeur, n'en aura qu'un effet plus fort. Cela a été le cas du fameux virus Stuxnet par exemple, a priori développé conjointement par les États-Unis d'Amérique et Israël, ou encore Aurora qui ont développé quatre vulnérabilités zero-day pour pénétrer les systèmes.

 Si une faille informatique n'est pas publiée, ou connue du grand public, et donc non corrigée par l'éditeur du logiciel visé, le pirate ou hacker qui compte exploiter la faille bénéficie d'un effet de surprise total : il peut alors prendre le contrôle d'un ordinateur, d'un logiciel ou d'un réseau, voire effectuer une attaque par déni de service, sans que la structure visée n'ait eu le temps de s'y préparer.