Clusif : enquête sécurité 2008
Avec cette enquête réalisée intégralement par Internet auprès de 1139 personnes issues de 354 entreprises de plus de 200 salariés, le Clusif (Club de la Sécurité de l’Information Français) a souhaité caractériser la population des internautes français, connaître les usages d’Internet par cette population et surtout évaluer leur perception de la menace informatique, des risques, et l’interroger sur ses pratiques en matière de sécurité.
Selon cette enquête, un tiers des internautes utilisent l’ordinateur familial aussi à des fins professionnelles (ce qui pose quelques questions sur la protection des données de l’entreprise comme nous l’avons déjà souligné dans plusieurs articles de presshightech, voir “PC vs libertés individuelles“). Les internautes se révèlent globalement prudents dès qu’il s’agit d’achat sur Internet, et semblent conscients de l’utilité des outils de protection (antivirus, pare feu personnels, etc.), et ne se sentent que pour une minorité d’entre eux véritablement en « insécurité » sur Internet.
Côté entreprise, quand des tableaux de bord de la sécurité existent, ils sont à destination majoritairement des DSI (58% des cas), de la direction générale (52%), du RSSI (37%), des directions métiers (18%), de la direction des risques (15%) ou du juridique (10%). Cette édition 2008 de l’enquête du Clusif fait ressortir un inquiétant sentiment de stagnation. Entre 2004 et 2006 des progrès notables avaient été fait, en particulier dans le domaine de la formalisation des politiques et des chartes de sécurité. Mais depuis, il semble bien que la mise en application concrète de ces politiques soit restée un voeu pieux. Selon l’enquête, 40 % des entreprises ne disposent toujours pas de plan de continuité d’activité pour traiter les crises majeures, contre 42 % en 2006. Et 30 % d’entre-elles disent ne pas être en conformité avec la Loi Informatique et Liberté (CNIL).
Dans les collectivités locales, les chartes de sécurité seraient davantage édictées pour se conformer à des usages réglementaires que pour devenir un élément important de la politique de sécurité de l’information (même si la proportion de chartes en cours d’élaboration est très significative : 18 % des collectivités). Pour ce qui concerne la sensibilisation des utilisateurs, des progrès majeurs resteraient à faire : seules 23 % des collectivités auraient lancé des actions dans ce domaine et 10 % s’y prépareraient. Comme conséquence de ces mauvais chiffres, les spécialistes du Clusif estiment “qu’il ne faut pas s’étonner du manque d’implication du personnel dans le suivi de la politique de sécurité” et que les RSSI (responsables des services de sécurité informatique) ressentent la réticence des utilisateurs et des services comme frein majeur dans la conduite de leurs missions.
Cryptage des données numériques
De quoi inquiéter les centraux bancaires et les officines d’e-commerce, des articles publiés dans la presse spécialisée suscitent quelques interrogations sur la fiabilité des processeurs de nos chères (…) bécanes…
Suite aux révélations de l’équipe conduite par le cryptologue allemand Jean-Pierre Seifert (ex-Intel, enseignant dans les universités d’Haïfa et d’Innsbruck), les fabricants de microprocesseurs seraient sur les dents. En cause, une technique d’espionnage au niveau du code machine qui reposerait sur un logiciel capable de récupérer la clé de cryptage SSL au cours même de la phase de calcul… les spécialistes apprécieront. Qu’il s’agisse de crypter, de signer ou de garantir l’intégrité de données numériques, d’après les expériences conduites par l’équipe de JPS, les processeurs de la quasi-totalité du parc informatique mondial seraient vulnérables et le commerce en ligne serait selon lui menacé, ainsi que tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes asymétriques (procédé utilisant une clé publique codant les données et une clé secrète pour les restituer). Il s’agirait même de la fin des algorithmes RSA et des clefs de chiffrement couramment utilisées (RSA, acronyme formé à partir des noms de ses créateurs : Rivest, Shamir et Adleman). Pour de plus amples détails, nos lecteurs peuvent se reporter au research group “Mathematical Computer Science”, de la Johann Wolfgang Goethe-University (docs en allemand). Dans le détail cette menace qui porte le nom d’analyse de prédiction de branche (BPA), nécessitait jusqu’à maintenant de très nombreux essais pour déduire de façon statistique la clé de cryptage (ce qui la rendait de fait impraticable). Dans une étude encore assez confidentielle, JPS décrit la façon dont il a pu (selon lui en une seule tentative) récupérer la quasi-intégralité d’une clé de cryptage de 512 bits (NDR : rappelons que ce type de cryptage consiste en une suite d’autant de 0 ou de 1 permettant de « brouiller » les données transitant par le Net afin de les rendre illisibles ; elle est donc couramment utilisée pour les transactions cryptées ; sachant que la plus grande clé publique faisait 640 bits ; sa décomposition en 2005, avait nécessité pendant trois mois, l’utilisation de 80 microprocesseurs cadencés à 2,2 GHz). Cette découverte fait figure de bombe, puisqu’elle ne ferait appel qu’à une seule lecture de code ; sa force résidant dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, ne serait pas vraiment protégé. Selon lui, le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rendrait vulnérable. « La sécurité a été sacrifiée au bénéfice de la performance », estime le chercheur. Une « taupe » (logiciel) pourrait donc « écouter » la puce en toute discrétion, et renvoyer la clé par exemple à des hackers, voire à des services de renseignement ou à des concurrents potentiels. Sous couvert d’anonymat, des spécialistes de cryptographie confirment le sérieux de la menace sur les systèmes à clé publique : « La solution réelle serait de revoir la conception même de nos microprocesseurs… une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu’à faire dans un environnement de travail classique… il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le fonctionnement des PC ».
La polémique avait même fait rage entre observateurs. Selon l’hebdomadaire Le Monde Informatique (LMI, publication d’International Data Group, éditeur de Computer World), le quotidien le Monde « faisait saigner la tomate » à propos d’une technique potentielle qui permet de récupérer les clés de cryptage au cœur des processeurs. Pour cet hebdomadaire spécialisé « il est hautement regrettable que la sécurité des systèmes d’information, qui concerne effectivement l’ensemble des citoyens des pays industrialisés, soit encore traitée sur un ton alarmiste et superficiel, entretenant une défiance diffuse et, plus grave encore, le fatalisme ambiant et l’apathie juridique qui en découle, le tout garantissant l’impunité des responsables des causes réelles et sérieuses des milliards d’euros ou de dollars volés chaque année, en particulier les banques et les détenteurs d’informations personnelles qui ne sont toujours pas tenus, en France, d’alerter les victimes potentielles à la suite d’une effraction de leur système d’information, et l’on ne s’y prendrait pas autrement si l’on voulait, sciemment, désinformer une population tout entière pour lui faire supporter les frais d’une dématérialisation des échanges conduite au seul profit des intermédiaires financiers ». Les résultats des travaux de Jean-Pierre Seifert avaient été publiés lors de la conférence RSA, début 2007. Claude A.Frison
Phishing
Les opérations de phishing se multiplient. Et ce malgré les alertes émises par les administrateurs gérant les transactions de leurs clients. Des internautes même avertis se laissent encore prendre au piège. Les banques ne sont pas les seules concernées par ce phénomène. Dans tous les secteurs, les pays à fort taux de connexions sont touchés par les agissements de circuits mafieux. Dernier exemple connu, durant trois mois, des pirates ont débité 250 comptes chez Nordea (banque suédoise comptant 2 millions de clients). Butin, environ 800 000 euros restitués depuis aux victimes. Depuis l’automne dernier, l’enquête policière a permis d’interpeller une centaine de petits malins recrutés via le Net. Les enquêteurs sont remontés jusqu’aux commanditaires situés en Russie, opérant via des serveurs nord-américains. Autre exemple du même type, le démantèlement début 2006 d’un réseau franco-russe de détournements de fonds. Des internautes français avaient réussi à pénétrer les comptes bancaires d’une soixantaine de leurs compatriotes. Bilan de l’opération pirate : 200 000 euros détournés. Encore une fois les commanditaires de l’opération étaient russes, agissant via une société fictive aux états-Unis. En bref, ils proposaient à des internautes français de recevoir sur leur compte l’argent détourné. Des mules, mais pas des ânes, puisqu’ils percevaient de 1 à 5 % de commissions sur les sommes détournées, une fois avoir reviré le butin récolté vers la tête du réseau. On ne peut pas leur jeter la pierre, les sites bancaires figurent logiquement parmi les plus sécurisés. Mais il est difficile d’obtenir des statistiques précises. Celles-ci ne communiquant que très peu sur ce sujet, on les comprend. Sans doute de peur de dissuader leurs clients d’utiliser leurs guichets en ligne. Des services payants, qui représentent une manne financière constante, non négligeable au bilan. Claude A.Frison
Passwords harvesting fishing
Étymologiquement, le terme de « phishing » vient de l’expression anglaise « passwords harvesting fishing » (pêche aux mots de passe), utilisée à l’époque des premières attaques de ce type sur les serveurs d’America Online. En français, il est communément traduit par « hameçonnage ». La technique consiste à faire croire aux internautes qu’ils reçoivent un mail de la part d’un site de confiance qu’ils consultent fréquemment. Une page parfaitement imitée les enjoint à compléter une simple case d’identification par mot de passe, pour authentification. Une fois entré et validé, le tour est joué. A l’insu du particulier, en un éclair, l’attaquant peut se connecter sur la page du client et obtenir des renseignements personnels.pc versus liberté individuelle
Le réseau, outil de travail collaboratif pour ses utilisateurs, se heurte à l’arsenal de lois sur la protection des personnes sur leur « lieu » de travail. Par exemple pour les télé-travailleurs, de plus en plus nombreux dans les grandes entreprises. Un vrai casse-tête pour les DRH et les DSI.
Vie de bureau et sécurité informatique Les deux ne font pas toujours bon ménage. Les services web utilisés pendant les heures travaillées posent des problèmes exponentiels aux entreprises vis à vis de leurs employés, aussi citoyens et consommateurs. Le Net est un média dont on peut difficilement restreindre l’usage tant il est devenu incontournable pour les individus dans leur environnement quotidien. Aussi bien dans leur façon de communiquer que de consommer de l’information de toute nature. Dans toute activité, industrielle ou tertiaire, une info périphérique au job peut s’avérer stratégique pour le salarié et ses collègues (prévisions de restructurations, blogs syndicaux).
Qu’en est-il des connexions personnelles depuis son poste de travail : effectuer ses opérations bancaires à distance et ne pas avoir à se déplacer; de même pour les achats courants, dégoter le dernier gadget high-tech au moindre prix, tout le monde connaît cela. Banalement pour des téléchargements de fichiers de musique et de films en VOD, communication avec des tiers à titre particulier. Parfois aussi jouer en ligne pour se détendre, à l’insu de sa hiérarchie. Mais aussi visites fortuites de sites licencieux, révisionnistes, terroristes. Il est quasi inévitable que des collaborateurs utilisent leur connexion de façon dite inappropriée par simple curiosité souvent. Difficile d’effacer toutes traces de ces visites. Des faits très courants en pratique, qui soulèvent de nombreux problèmes.
Du point de vue des dirigeants, outre que tout celà occupe de la bande passante à charge, certains téléchargements peuvent déboucher sur des litiges en matière de droits d’auteurs, voire engager l’entreprise au niveau pénal. Sur le plan du droit, en vertu du code pénal, l’entreprise et ses dirigeants en tant que représentants légaux, peuvent être poursuivis pour complicité ou recel (même si l’utilisation malveillante s’est faite à leur insu). Les sanctions encourues pouvant aller de l’amende lourde, jusqu’à des peines d’emprisonnement. D’où l’intérêt pour les entreprises de se prémunir contre les agissements de collaborateures étourdis. La précaution consiste à filtrer les sites jugés illicites en s’appuyant sur des applications spécialisées. Ce qui est jugé « illicite » devant (en principe) être discuté entre l’entreprise et le CE. Claude A.Frison
Techniquement les solutions existent pour contrôler les flux d’informations échangées par les salariés. Des serveurs d’interception de requêtes internes qui vérifient automatiquement la conformité des échanges avec la politique de sécurité maison. Dans le détail, le filtrage d’adresses (URL) se fait en utilisant des logiciels de sécurisation bien connus (de type websense, secure computing, surfcontrol) ; aussi des contrôles de transferts des flux analysés (tcp, http, https, socks, dns, ftp). De même pour les protocoles de messagerie instantanée (windows messenger, aol, yahoo).
