Une approche de la sécurité à pleurer : WanaCry et dépendances

L'attaque WanaCry illustre plusieurs problématiques de la cyber-sécurité et montre combien ces dernières sont cruciales et extrêmement complexes à gérer.
Partager sur:
Sauvegarder cet article
Aimer cet article 0

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Une approche de la sécurité à pleurer : WanaCry et dépendances

Publié le 16 mai 2017
- A +

Par Frédéric Prost.

La toute récente cyber attaque du ransomware wanacry a atteint un niveau sans précédent : alors qu’elle n’est pas finie (on peut craindre que diverses mutations de ce virus causent de nouveaux dégâts dans un futur proche) elle illustre parfaitement plusieurs problématiques autour de la cyber-sécurité et montre combien ces dernières sont à la fois cruciales et extrêmement complexes à gérer.

Une attaque dévastatrice

L’attaque « WannaCry » dont les effets se sont répandus le 12 mai est à ce jour inédite. Des services hospitaliers du NHS anglais  (certaines opérations ont du être reportées) aux sites industriels (qui se retrouvent à l’arrêt) en passant par le ministère de l’Intérieur de la fédération de Russie, les estimations de dommages sont encore parcellaires mais indiquent déjà des centaines de milliers de victimes dans plus de 150 pays.

Le principe de cette attaque est un classique de la sécurité informatique. Il s’agit pour le pirate de crypter vos données et d’exiger une rançon en échange de laquelle il vous promet de vous fournir la clef permettant de les retrouver.

Ce type de menace, ainsi que la manière de s’en protéger (faire des sauvegardes de ses données, maintenir son système à jour, ne pas suivre de liens étranges ou répondre à des mails suspects), sont usuels.

Ce qui ne l’est pas, ce sont la technique utilisée (une faille du système Windows) et la dimension mondiale de l’attaque qui montrent bien que, dans le domaine de la cyber-sécurité, tout a changé.

Évolution de la menace

Traditionnellement, la cyber-sécurité était vue au travers du prisme historique de la cryptographie. Le film The imitation game en donne une bonne illustration en montrant comment a été cassé le code Enigma utilisé par les forces allemandes durant la seconde guerre mondiale.

Le problème était relativement simple dans le sens où il était bien délimité : casser le code Enigma demandait un certain génie mathématique et technique, mais au moins on savait quels étaient les tenants et les aboutissants du problème. Aujourd’hui, une telle approche ne suffit plus.

Ainsi que le souligne l’expert en sécurité Scott Andersson, le problème est que quasiment tout est interconnecté aujourd’hui.

Ainsi il se peut que votre téléviseur, connecté sur internet, communique avec votre smartphone, lui aussi connecté sur internet, en utilisant des ultrasons (donc même s’ils ne sont pas inter-connectés) : la télévision émet les ultrasons que votre téléphone récupère avec son micro, le tout à votre insu.

Les systèmes ne sont plus isolés les uns des autres mais en permanence inter-connectés, utilisant des myriades de protocoles inter-agissant les uns avec les autres. Avoir un système sûr est suffisamment compliqué ; assurer la sécurité dans un monde où chaque interface entre deux systèmes est un point faible susceptible d’être potentiellement utilisé devient dantesque.

Symétrie de la guerre cybernétique

À cette évolution fondamentale, où, en plus de la cryptographie, il faut considérer la cyber-sécurité à l’aune de réflexions de type économique (théorie des jeux), psychologiques (les pirates utilisent des ressorts psychologiques vous conduisant à cliquer là où vous ne devriez pas le faire) et sociales (manipuler les utilisateurs pour induire un comportement plus sûr de leur part), s’ajoute l’empowerment extraordinaire des particuliers depuis quelques années. La célèbre citation de Samuel Colt : « Dieu a fait des hommes grands et d’autres petits, je les ai rendu égaux », s’applique parfaitement aux nouvelles technologies de l’information et de la communication.

Les individus n’y sont pas nettement inférieurs aux acteurs étatiques. L’attaque WanaCry a vraisemblablement été menée par une équipe restreinte de pirates. Ils ont réussi à mettre à genoux le NHS, le cinquième plus grand employeur du monde ainsi que de nombreuses agences d’État (dont apparemment le ministère russe de l’Intérieur).

Il y a là une leçon importante à retenir : la symétrie intrinsèque des technologies de l’information et de la communication (TIC). En effet, si les armes traditionnelles demandent une infrastructure perfectionnée que seuls les États peuvent s’offrir (et encore, on le voit bien dans le cas de nombreux pays, obtenir l’arme nucléaire est extrêmement complexe, même pour des acteurs étatiques), il n’en est pas de même dans le monde des TIC où c’est véritablement l’intelligence qui fait la différence : à la limite tout ce dont a besoin un pirate c’est d’accéder au réseau (via son téléphone ou un poste en libre service dans une bibliothèque municipale) et ensuite il peut théoriquement prendre le pouvoir sur des machines puissantes qu’il utilisera à son bénéfice.

Ainsi, même si cette image est exagérée, il est possible de lutter à armes quasiment égales avec la NSA. Pour cela, il suffit juste d’être très malin, et d’avoir un accès à internet.

L’attitude délétère de la NSA

Malheureusement, WanaCry est la chronique d’un désastre annoncé : depuis longtemps les experts en cyber-sécurité ( et par exemple) ont mis en garde contre la NSA et ses pratiques douteuses. C’est en effet en utilisant des armes développées par cette dernière que l’attaque a été rendue possible.

Le fait que cette agence dont le but officiel est de protéger les utilisateurs (en théorie les Américains mais en réalité le reste du monde, étant donné l’influence majeure des États-unis dans ce domaine) parait paradoxal, mais seulement en apparence, si l’on prend en compte la symétrie inhérente aux TICs.

Il faut comprendre que ce qu’on nomme une arme dans le domaine cybernétique n’est rien d’autre qu’une faiblesse, une faille, qui permet à la NSA de s’introduire dans un système. La NSA a mis en place une politique NOBUS (NObody But Us, personne à part nous), consistant à collecter ses failles de manière secrète, c’est-à-dire en ne prévenant pas les entreprises impactées (en l’occurrence Microsoft) dans l’espoir de les utiliser à son propre profit.

Mais rien n’empêche quelqu’un d’autre d’utiliser ces failles. Le fait qu’une arme se retourne contre son créateur est commun dans ce domaine (l’exemple des écoutes grecques de 2004 en est une illustration frappante).

La sécurité dans un monde ouvert

En matière de sécurité, et qui plus est dans le monde des TIC, il n’existe pas de solution magique. Toute solution de sécurité est un compromis entre ce qu’elle coûte et ce qu’elle rapporte ; comme au judo, il faut avoir conscience que votre adversaire peut utiliser votre propre force contre vous.

Il existe cependant de grands principes qu’on peut suivre. Par exemple, le principe de Kerckhoffs : il consiste à supposer que votre adversaire connaît toutes vos procédures, et que la sécurité de votre système ne doit reposer que sur la seule connaissance d’un unique secret (typiquement la clef de décryptage).

Si ce principe n’est pas une panacée, ne pas le suivre conduit irrémédiablement à la catastrophe. Les solutions sont complexes mais ce n’est pas en refusant de reconnaître que nous vivons dans un monde ouvert, où la meilleure défense n’est pas l’obscurité mais la lumière (qui permet la critique et l’amélioration continue des systèmes), qu’on résoudra quoique ce soit.

Finalement, cette affaire entre de manière étonnante en résonance avec notre actualité politique et montre combien la tentation du repli sur soi n’offre rien d’autre que l’illusion de la sécurité.

Voir les commentaires (3)

Laisser un commentaire

Créer un compte Tous les commentaires (3)
  • Cela m’énerve toute cette désinformation .si ce virus est aussi puissant qu’on le dit ,leurs auteurs auraient plus à gagner avec le vol d’informations secrètes et financièrement juteuses et sans risques.

  • On peut voir cela aussi comme une attaque détournée pour pourrir le bitcoin. En effet, ce ransomware a la particularité pour être débloqué d’être payé seulement en bitcoins. Donc soit c’est un groupe très structuré qui fait de la spéculation sur le bitcoin comme de vulgaires traders en manip sur le Libor (ou autre), soit un groupe proche d’un gouvernement qui tente d’appuyer sur le fait que le bitcoin serait définitivement une monnaie cryptographique de truands. Etape intermédiaire avant que les banques centrales le bannissent pour « protéger » le public et les entreprises.

  • Il faut arrêter avec les délires métaphysiques (dernière phrase totalement hors sujet), des ransomware ça pullule, celui là sautait par le protocole SMB (montage de disque via Samba)…. et si Renault ou le NHSC fait des montages de disques à la sauvage pour gérer des partages de données, sans contrôler les droits d’accès, ce sont les responsables sécurité qui sont responsables et vont avoir un sérieux soucis. Depuis 2005 on a fait d’énormes chantiers d’urbanisation des flux d’échange pour supprimer ces techniques et smb est un protocole qui est interdit en production (sauf partage de document et encore!).Si la sécurité et la production sont un minimum porfesionnel vous ne serez jamais autorisé à partir en production avec des accès samba.
    Ce que démontre ce virus et que l’on sait tous dans le métier, c’est qu ‘il y a beaucoup d’entreprises où c’est du bricolage et le problème de boîtes comme Renault, les hopitaux anglais et bien d’autres, c’est que les vrai professionnels les fuient, sauf à y travailler en free lance à un taux exorbitant et encore.
    PS: si la sécurité vous intéresse, je vous conseil de lire ce que publie l’ANSI qui est une agence de l’état et qui fait un excellent travail d’information et d’alerte. Avec la Cnil, il faut le signaler, ce sont deux services de l’état qui font de très bon travail et qui surtout utiiisent les bon termes et les bons concepts pour parler de sécurité.

  • Les commentaires sont fermés.

La liberté d’expression n’est pas gratuite!

Mais déductible à 66% des impôts

N’oubliez pas de faire un don !

Faire un don

Article disponible en podcast ici.

La Russie est connue pour ses compétences en piratages informatiques. Elle les utilise actuellement en Ukraine et pourrait se lancer à l’assaut de l’Europe pour déstabiliser des pays comme la France.

Aussi, il est de notre devoir de ne pas faciliter la vie des pirates russes en optant pour trois bonnes pratiques.

 

Garder les systèmes à jour

Si un pirate russe tombe sur une faille, il n’y a plus rien à faire. Il peut corrompre l’ordinateur de sa victime en appuyant sur une se... Poursuivre la lecture

Par Mohammed Chergui-Darif et Bruno Tiberghien.

 

Collectivités territoriales, administrations publiques, hôpitaux, écoles et universités, aucune de ces organisations publiques n’est à l’abri des cyberattaques, que la Défense française définit comme :

« (toute) action volontaire, offensive et malveillante, menée au travers du cyberespace et destinée à provoquer un dommage (en disponibilité, intégrité ou confidentialité) aux informations ou aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils son... Poursuivre la lecture

Il y a quelques constantes dans l’univers, depuis la vitesse de la lumière jusqu’à la certitude de la mort et d’une ferme ponction fiscale si vous habitez en France. Au fil des ans, une autre constante s’est installée, à savoir celle de l’incompétence terminale des administrations françaises en matière de numérique : chaque projet lancé, généralement en fanfare, s’est terminé de façon aussi piteuse que coûteuse.

Par exemple, en 2012, l’État français décidait posément de financer avec l’argent des autres (c'est-à-dire le vôtre) ... Poursuivre la lecture

Voir plus d'articles