DES ENTREPRISES EN GUERRE CONTRE LES HACKERS Pour lutter contre le sabotage, le racket ou le vol de données confidentielles, les sociétés s’équipent et font appel a des « spécialistes en intrusion », Des efforts coateux et pas toujours trés efficaces... MILLION DEL Ros, cvest 1a somme qu'un média people aurait da payer pour... que Te sceret reste bier gardé, Doux eseroes avaient russia sine troduire sure serveur d'un réseau social américain reservé & la jet-set. En cas de rufus de paiement, menagaient de divul quer les petits secrets des VIP. De quoi décider éditeur & alerter le FBI. Les quelques informations recueillies ont ‘mené les enquéteurs jusqu’é la banlieue de Bordeaux. Les deux pirates ont &té arrétés et risquent jusqu’a cing ans de prison, En soi, tien extraordinaire: il sagt d'un banal cas de racket. Avec tou- tefois cette particularité : quelques mil liers de Kilometres séparaient les maitres chanteurs de leur cible. Feut-il voir dans cette affaire 'emer~ gence d'une nouvelle menace pour Jes entreprises ? Si 'on en croit le nombre dle plaintes déposées chaque année pour intrusion dans les systemes d'informa- tion, il n'y aurait pas de quoi singuiérer. « Nous traitons peu affaires de ce genre +, note Christian Aghroum, qui ditige POffice centsal de lutte contre la criminals lee aux technologies de Pin- formation et de Ia communication. (60 cexraxston | NOVEMBRE 2008 L’homme apporte toutefbis un bemol «= Quand elles sont vietimes «une intru- sion, les entreprises frangaises préférent genéralement ne pas porter plainte. » ‘Aux Etats-Unis, Padoption dune li obli- gant les sociétés 2 déclurer tout vol ou perte de données sensibles a permis de délier les langues, ‘Plusigurs affires de piratage ont méme défrayé la chronique ces derniers temps. En aod la justice américaine a fait arré- ter Pune des trois personnes accusées davoir dérobé les codes de plus de 130 millions de cartes de erédit en s'in- troduisant dans les systémes informa- riques de plusieurs ehaines de distribu~ tion et d’Heartland Payment Systems. tune socien® de traitement qui re 10D ml 4% C’est lahausse des dépenses de sécurité des entreprises prévue en 2010, malgré la contraction des budgets informatiques. Jions de transactions par mois. Avant cette ‘operation, un pirate avait réussi i copier sur le réseau informatique des protes~ sionnels de sante de Etat de Vinginie une lopée de dossiers médicaux, Il exigeait tune rangon de 10 millions de dollars (6.7 millions d'euros) pour les restitucr. Rien de trés surprenant pour Hervé Schauer, qui ditige HSC, Pun des plus veux cabinets de eonscil en sécurité fran- sais» Par rapportaila fraude interne, les intrusions en provenance de Mextérieur restent peu frequentes et sont souvent liges 4 Vespionnage industriel. Cepen- dant, la menace est bien réelle. On peut ‘meme se demander pourquoi il n'y pas plus affaires, étant donne l'intercon- rexion erpissante des systémes d'infor- mation. » Aujourd’hui, unc entreprise doit avoir un site Internet, permettre a ses salariés de travallerPextérieur, tre capable de communiquer rapidement avec ses fllales... Cela entraine inévita- bblement un élargissement considérable clu périmetze a securiser et une démul- tiplication des points d’entrée cans les systémes. Les solutions techniques permettent cde resoudre une partie du probleme. « Les PME ont pas vraiment les moyens de s'équiper, mais depuis quelques années Is grandes entreprises ont fait des efforts dinvestissement, Le niveau technique‘Missions configes aux consultants en sécurité, qui oientingénieurs en informat Is dossiers sensible afin de renforcer leur protection et développer la prévention pour empéck sest aussi amélioré. On voit moins d’er~ reurs basiques, de problémes de para- métrage, note Paolo Pinto, cofondate de Sysctream, cabinet de conseil en sécu- rit informatique. Cela a permis de réduire le risque d’attaque frontale. Mais cela ne veut pas dire que le probléme est résolt, join de la. » Rares sont les systémes d’in- formation qui résistent & une inspection minuticuse de leur dispositif de sécurité Rien que l'information disponible sur Internet peut causer un tort phenomenal. Cyril Leclere, ukant @ Ar. par des spécialistes de intrusion. ‘A cela s'ajoute le risque lié au facteur humain, La plupart du temps, les pirates auront intérét @ cibler un salarié ou un irigeant pour sintroduire dans le sy téme d'information plutat que de s’échi- nner & chercher une bréche dans un mur d'enceinte plus ou moins bien garde, Un courriel erédible avec une pitce jointe permet souvent de mettre un pied dans le réseau. C'est d’autant plus ile que l'information qui servira a ‘romper la vietime est disponible sur Inter- net. + Il suffit de fouiller dans les préser tations PowerPoint dis- ponibles en ligne, sur Facebook ou Viadeo. Les réseaux sociaux sont tune formidable mine de renseignements », note Alban Ondrejeck, consul- tant en sécurité de 'in- formation pour Orange Consulting. Dans ce ccontexte,enjeu n’est plus 'arriver & mettre sur pied un systéme de sécurité quasi parfait, mais bien d’iden- tifier les informations qui méritent une protection renforcée, De plus en plus de SSS eed ique ou anciens pirates reconvertis : identifier grandes sociétés recrutent des responsa- bles de la sécurité des systémes d'infor- ‘mation (RSSI) pour mener a bien ce cchantier gigantesque. » Hélas, trop sou- vent, ils restent isolés et sont considénés comme des empécheurs de tourner en rond par les responsables métiers», note Jerome Saiz, édacteur en chef de Secu- rity Vibes, un site communautaire des- tiné aux experts de la sécurité informa tigue. A‘TACHE EST D'AUTANT PLUS DIF- FICILE que les menaces évoluent és rapidement. Chaque jour, de nou- velles vulnérabilites sont publiges sur des sites spécialisés. « Rien que lin- formation disponible sur Internet peut causer un tort phénoménal +, note Cyril Leclere, consultant pour Arseo, une société de conseil en sécurité informa- tique. Sans compter que les pirates peu- vent toujours trouver une fill non divul- guée ct exploiter grice & un programme crit sur mesure. Les personnes B+ [NOVEMBRE 2009 | LEXPANSION 61= 2+ DES ENTREPRISES EN GUERRE CONTRE LES HACKERS ana TEMOIGNAGE « LEHACKING, C'EST UN ETAT D'ESPRIT » Stéphane tatonne, ‘multiplie les combinaisons. Pour un non-initie, les séries de chitfres et de lettres qu'il entre dans le champ de recherche du site d'e-commerce ont pas grand sens. C'est pourtant une d’entee elles qui Jui permet de pénétrer dans la partie v administrateur + du site et d’acctder di la base clients. + Quand ils codent, les programmeurs suivent une logique, explique ce hacker une trentaine d'annees, I faut la connattre pour pouvoir ‘mieux la contourner. I faut aussi étre patient. + CChaque étape prend du temps, autant qu’on doit ’assurer gue 'on ne laisse pas de traces, Pour brouile les pistes, Stéphane utilise un puissant logiciel @anonymisation et passe par des » machines distance. Sur 'éeran, apres toute une série de manceuvres, les identfiants et les mots de ported B+ capables de ce genre de prouesse ne sont plus aussirares qu’avant. Avecle développement d"Internet, Paces a li formation s'est démocratisé. Le savoir- faire technique n’est plus apanage de quelques chercheurs universitaires ou d'ingenieurs maison. » Au contraite, les travaux les plus intéressants sont souvent Te fait de passionnés qui se sont formés seuls et quiéchangent au sein de groupes informels», note Gaél Delalleau, ancien auditeur en sécurité pour le cabinet de conseil Ernst & Young. Pour leur recherche, mais aussi par godt du défi, certains ne s‘interdisent pas de faire des incursions dans les systémes d’informa- tion des entreprises. La plupart ne font pas de dégits. Quelques-uns, cependant, peuvent basculer du cété obscur. Il nexiste pas de charte de déontologie ou (62 LrExPANSION | NOVEMBRE 2009 passe Saffichent. Ces derniers sont cod Pas de souci, le Jrackera dans son ordinateur portable un petit logiciel qui permet de décrypter tout cla +A condition que le sésame soit un nom commun du. dictionnaire», précise-ti. dernier peut dire écrit envers ou suivi d'un numéro, cela n'a pas dimportance ‘es raffinements sont pris en ‘compte par le cracker, tléchar- ‘geable gratuitement sur le Web. Une fois que ce dernier a fait son travail il ne reste plus ‘qu’a entrer dans les comptes des ulisateurs etd se servir adresses électroniques, rhuméros de earte bancaire Le godt dela technique et du défi Le hacherne pend ret, détruicpas de données «Ce ines) lest pa dans mes habitus, Febondsequilcontrdle’ | emesuil Mats ase souvent une backdoor (ane abe] ou de petits programmes. cexplique- Iui,er Crest dans cette “Tout dépend de conseil de Vordre : c'est & chacun de fixer ses propres limites. Pendant longtemps, les entreprises ont te trés méfiantes vis-a-vis de ces cher- cheurs peu académiques. Toute intrusion, toute divulgation de falle étaient consi- dérées comme une attaque frontale. Cer- taines restent sur cette position. D’autres ‘commencent a voir ce vivier de compé- tences d'un autre el, Aux Etats-Unis, le changement de culture est déja amorcé. SECURITE se revendiquent ouver- tement de la culture du hacking. [Cela n'inguiéte en rien leurs clients. Certaines grandes sociétés, dont Micro- soft, ont méme fait savoir qu’elles avaient recruté des hackers pour lutter contre le piratage. En France, le mouvement est «de mes recherches. Ques ui pousse ce passionné d'in- formatique~il dirige un département de recherche et développement ~ A s‘intro- dluire dans des systémes au ‘mépris de la loi? La passion pour la technique, le goat du efi «Le hacking, eest une philosophie, un état d’esprit. sagt de repousser en permanence les limites du systéme, de ne pas accepter les solutions toutes prétes, i. Cela ne S'apprend pas & 'université. = ‘Comme beaucoup de hackers, Stéphane est tombé trés tot dans informatique. Ils est formé seul, en échangeant avec des passionnés comme isant des publications, en fréquentant les conférences internationales, comme Ja Defcon, qui se tient Las Vegas, ou celle du Chaos Computer Club, a Berlin. ‘communauté de gens passionnés qu'on trouve les consultants en préférent se reposer sur leurs acquis, D'ailleurs,lui-méme ‘travail plusieurs reprises enjndépendant pour des entreprises qui avaient besoin de disséquer des intrusions fou des ataques par déni de service. Parmi eles, ‘un important site de paris en ligne européen qui tai aux prises avec des pirates russes. Coat de intervention 13000 euros, « Mais cela peut tre gratuit si ’apprends quelque chose, sly aun véritable échange technique avecla personne qui me contacte », précis le hacker, qui n'étudie que les demandes quill parviennent parle bouche-a-orcile. NR. plus timide. Quelques sociétés, comme ‘Accor, ont recruté en interne des « spé- cialistes en intrusion », D’autres, comme EADS, préférent ne pas communiquer sur la question. Il suffit cependant de se ‘promener un peu sur Internet pour s'aper cevoir que certains consultants maison slintéressent ce qui se fait dans le miliew dit underground. + C'est tout i fait logique, note Gal Delalleau. Les médias ont sou- vent abl une dichotomie entre Ie zie ‘hat hackers, qui font ¢a par passion de la technique, et les black hat hackers, qui uti- lisent leurs connaissances & des fins cri ‘inelles. La réalité est plus complexe :i ya toute une zone grise dont on ne peut pas se couper sil'on veut vraiment savoir ‘ce qui se fait en matiére de sécurité etut- ter efficacement contre es tentatives din- trusion. » © Nicolas Reynaud