L’ENISA a publié  l’année dernière un rapport complet identifiant les risques liés aux smartphones et aux applications mobiles.

Cette tendance est renforcée par l’arrivée massive en entreprise des terminaux personnels. En effet, quand ce n’est pas l’entreprise qui fournit des smartphones professionnels à ses salariés, ces derniers apportent d’eux mêmes leurs propres téléphones ou tablettes personnels au travail et les connectent, avec ou sans autorisation, au Système d’Information de l’entreprise (messagerie électronique, application métier, VPN, etc.). C’est le phénomène du BYOD (Bring Your Own Device). Ces terminaux personnels sont le plus souvent non maîtrisés (qui a dit non connus ?) par l’entreprise et deviennent de fait un nouveau facteur de risque et notamment de fuite d’informations.

Le BYOD en 2012

Selon une étude menée par IDC pour IBM, 21 % des entreprises en France interdiraient aujourd’hui à leurs employés de connecter des terminaux personnels au SI de l’entreprise. La réticence des DSI s’explique principalement par les difficultés d’administration, de support et de sécurisation d’une flotte mobile très hétérogène. Malgré tout, 49% des DSI admettent qu’ils devront faire évoluer cette position très rapidement pour répondre aux attentes des utilisateurs (70% s’estiment en effet plus productifs et réactifs grâce à leurs terminaux mobiles et près de 40% déclarent déjà utiliser un terminal personnel pour accéder au SI de l’entreprise).

Une réponse marketing

Comme d’habitude, les éditeurs de sécurité ont été prompts à proposer des solutions pour ces terminaux mobiles. Premier problème, les terminaux mobiles représentent une population très hétérogène avec des OS très différents : iOS, Android, Symbian, Bada, BlackBerry OS, Windows Phone… Deuxième problème, les solutions proposées comme les antivirus pour mobiles sont au mieux inadaptées au pire complètement inutiles (voire dangereux parfois).

Pour faire face au phénomène du BYOD et à la problématique de la gestion d’une flotte hétérogène de terminaux mobiles, les solutions de Mobile Device Management sont apparues. Des éditeurs de sécurité comme Trend Micro ou McAfee et des éditeurs spécialisés comme MobileIron ou AirWatch proposent déjà ce type de solution intégrant des fonctionnalités de sécurisation.

Les fonctions de base d’une solution de MDM :

 

Inventorier (identifier les terminaux mobiles connectés, activation / désactivation, reporting, etc.) ;

Configurer (cloisonnement, blocage des applications, implémentation des politiques d’utilisation,etc.) ;

Déployer (installation des applications, des mises à jour, à distance, etc.) ;

Sécuriser (effacement et blocage à distance, imposer une politique de mot de passe, chiffrement, géolocalisation, VPN,etc.).

 

La sécurité n’est qu’une fonction parmi tant d’autres pour une solution de MDM.

Mais sont-elles adaptées aux nouveaux enjeux de la sécurité mobile ?

Du Mobile Device Security Management plus que du MDM

Certains acteurs de la sécurité mobile commencent à remettre en cause la terminologie de Mobile Device Management qui serait employée à tort, selon eux. Winn Schwartau, président de la société Mobile Active Defense, préfère lui parler de Mobile Device Security Management (MDSM). Pour lui, le MDM n’est pas une solution de sécurité car les fonctionnalités de sécurité proposées par la plupart des acteurs du secteur sont trop limitées : complexité du code de déverrouillage, effacement et blocage à distance, restrictions ActiveSync… Si on compare ces fonctionnalités de sécurité à celles nécessaires pour sécuriser un ordinateur portable, on se rend compte rapidement de leurs limites.

Une vraie solution de gestion de la sécurité des terminaux nécessiterait, par exemple, une véritable intégration avec les services de sécurité de l’entreprise comme le SIEM, les antimalwares, les VPN, les systèmes de filtrage des contenus ou les outils de DLP. Peu de solutions de MDM gèrent cet ensemble de fonctionnalités qui est complexe à administrer et à déployer sur des flottes mobiles hétérogènes.

Il reste donc encore pas mal de chemin avant de pouvoir dire que nous avons sécurisé le BYOD et les terminaux mobiles en général. De plus en plus associée à des offres de Clouds publics comme DropBox, la mobilité reste une menace encore très loin d’être maîtrisée par les DSI et RSSI de nos entreprises.

Une petite pub pour le prochain évènement sécurité parisien qui se tiendra en juin prochain au Centre de Congrès de Disneyland Paris. Organisé pour la seconde année, Hack in Paris, se déroule exclusivement en anglais, réunissant les professionnels de la sécurité informatique et les experts techniques du hacking. L’évènement  se déroulera du 18 au 22 juin prochain et comprendra 6 formations et 16 conférences.

Aperçu sur le programme

Les 6 formations menées par des experts techniques sur 3 jours (du 18 au 20 juin) :

• Training 1 : Corelan Live – Win32 Exploit Development animé par Peter Van Eeckhoutte, fondateur de Corelan et l’auteur de la formation « Win32 Exploit Development »
• Training 2 : iOS Applications – Attack and Defense animé par Sébastien Andrivet, co-fondateur Advtools
• Training 3 : Malware Reversing Laboratory animé par Lee Ling Chuan, chercheur
• Training 4 : Metasploit for Penetration Testing animé par Georgia Weidman, chercheur
• Training 5 : Hacking IPv6 networks animé par Fernando Gont, spécialiste de la sécurité des
• Training 6 : Reverse-engineering of Android applications and malwares animé par Anthony Desnos, spécialiste de la sécurité open-source

Les 16 conférences, dont 2 keynotes (21 et 22 juin) :

• Keynote 1 : Measuring Risk with Time Based Security par Winn Schwartau
• Keynote 2 : Where Are We And Where Are We Going par Mikko H. Hypponen
• Conférence 1 : Got your Nose! How to steal your precious data without using scripts par Mario Heiderich
• Conférence 2 : A bit more of PE par Ange Albertini
• Conférence 3 : Windows Phone 7 platform and application security overview, par David Rook
• Conférence 4 : SCADA Security: Why is it so hard? par Amol Sarwate
• Conférence 5 : Attacking XML Processing par Nicolas Grégoire
• Conférence 6 : Breaking Windows 8 using HID with Kautilya par Nikhil Mittal
• Conférence 7 : PostScript: Danger ahead! Par Andrei Costin
• Conférence 8 : Neuro Linguistic Hacking – Emotional Mind Control par Chris Hadnagy
• Conférence 9 : Bypassing the Android Permission Model, par Georgia Weidman
• Conférence 10 : Results of a Security Assessment of the Internet Protocol version 6 (IPv6) par Fernando Gont
• Conférence 11 HTML5 : Something wicked this way comes par Krzysztof Kotowicz
• Conférence 12: The road to hell is paved with the best practices par Frank Breedijk & Ian Southam
• Conférence 13 : Securing the Internet : You’re doing it wrong (an INFOSEC Intervention), par Jayson Street
• Conférence 14 : You spent all that money and you still got owned ? par Joe McCray

Pour plus de détails sur les conférences, je vous renvoie vers la page officielle du programme.

Peut-être que j’y serai (ou peut être pas…) mais en tout cas il y aura sûrement une couverture de cet évènement sur ce blog ou sur Secu-Insight.fr via notre partenariat avec les organisateurs.

On comprend rapidement pourquoi certains chiffres baissent. Quand on ne prend plus les plaintes, mais seulement des mains courantes, les statistiques ont évidemment tendance à être plus intéressantes…

Quelques extraits croustillants (ce n’est pas une transcription très fidèle mais le sens général y est…) :

« C’est pas votre argent, c’est l’argent de la banque [...] C’est à la banque de porter plainte »

« On ne prend plus les plaintes car on en a trop de ce type. En plus, on peut rien faire pour les arrêter car ils sont à l’étranger »

Dixit la police nationale ou la gendarmerie… (notons que certains fonctionnaires de police / gendarmerie semblent ne pas suivre les directives de tout en haut et bien prendre les plaintes).

J’en ai moi-même fait l’amère expérience récemment et je confirme ce que montre ce reportage.

Le lien vers le reportage : http://envoye-special.france2.fr/les-reportages-en-video/delinquance-des-chiffres-sur-mesure-01-mars-2012-4247.html

Tout ça pour montrer que la politique du chiffre, encouragée par les différents gouvernements qui se sont succédés depuis des dizaines d’années, est avant tout un aveu d’impuissance face au phénomène de la cybercriminalité (ou de la cyberdélinquance).

Le zapping #cybersécurité de la semaine en 10 tweets. Bonne lecture !

Analyse sur le Botnet CITADEL : une industrie du cybercrime tinyurl.com/7fffsxc #Botnet #cybercriminalité #Infosec

— Cyber Veille (@Cyber_Veille) Février 16, 2012

NSA application whitelisting approach cheaply blocks viruses that AV software misses goo.gl/sF5JE #infosec — Ben Rothke (@benrothke) Février 16, 2012

We have just released IRM 15 #trademark #infringement bit.ly/AF6YDa feel free to use & spread it #CERT #DFIR — CERT SocieteGenerale (@CertSG) Février 16, 2012

La fraude à la carte bancaire sur Internet explose selon UFC-Que Choisir bit.ly/xOBZyM — Nicolas Caproni (@ncaproni) Février 16, 2012

« New tools and a dedicated cyber defense team are required to counter targeted attacks » -me hackers5.com/pages/600-Inte… — cyberwar (@cyberwar) Février 16, 2012

 

Cyberwar Is the New Yellowcake, Fueling a Cybersecurity-Industrial Complex: In last month’s State of the Union a… bit.ly/zSAhdS — Threat Level Blog (@ThreatLevel) Février 14, 2012

excellent ! – RT @mbenlakhoua: Best Tools Report 2011 by #ToolsWatch Service Nabil OUCHN & Maximiliano SOLER bit.ly/xJTlHJ — cedricpernet (@cedricpernet) Février 13, 2012

 

Report: malware pushed by affiliate networks remains the primary growth factor of the cybercrime ecosystem – is.gd/n02rdD — Dancho Danchev (@danchodanchev) Février 17, 2012

 

FireEye report shows 50 malware families responsible for 80% of successful infections bit.ly/A17a6R — Virus Bulletin (@virusbtn) Février 14, 2012

Les serveurs de Nortel piratés pendant près de 10 ans bit.ly/yWcGXO #espionnage #cyberwar

— franck miquel (@stratelligent) Février 15, 2012

Cette année, le thème du Forum est la Cybercriminalité. C’est donc tout naturellement que j’ai répondu positivement à la sollicitation des étudiants de l’IRIAF (et d’un ancien professeur) d’intervenir lors de cette journée de conférences. Mon intervention portera sur un sujet d’actualité : les risques liés au Cloud Computing et à la mobilité (avec un zeste d’Intelligence Economique…).

Le programme de la journée est bien rempli. Des gendarmes, des policiers, un expert judiciaire ou encore un avocat viendront témoigner sur la menace cybercriminelle, du cadre juridique ou encore des mesures de protection à mettre en place en entreprise. La journée sera animée par M. Bohy, rédacteur en chef de la revue de « Face au Risque ».

Le programme détaillé 

Les failles des agences bancaires face à l’usurpation d’identité

La technique de fraude utilisée met en évidence deux principales failles de sécurité imputables à la banque :

Envoyer dans un même courrier simple : le code confidentiel et le bon de retrait. Dans mon affaire, ça revient finalement à envoyer le code confidentiel et la carte bancaire ensemble. Le courrier est anonyme. Rien n’indique que c’est un courrier de la banque (mais paradoxalement ça donne un indice de l’importance du courrier…). Pour la Visa Premier, le fond du courrier est en couleur (en doré…). Est-ce que cela a joué dans l’interception de mon courrier ? Je ne sais pas. J’aurais peut-être des réponses, un jour, avec la suite de l’enquête de police (qui a dit que l’espoir fait vivre ?). Pour le moment, aucune nouvelle. Pour en revenir au processus d’envoi des cartes bancaires (ou des chéquiers), il faut aussi savoir qu’il diffère selon les banques ou le type de carte. La plupart envoie les cartes de retrait par courrier simple. D’autres envoient les chéquiers et les cartes bancaires classiques par courrier simple. Chacun en tirera les conclusions qu’il voudra.

Le manque de contrôle d’identité. C’est ce que je considère comme une faute grave car l’agence bancaire a été très laxiste en matière de contrôle d’identité. On pourrait penser que lors de la remise d’une carte bancaire une attention particulière est portée au contrôle de la pièce d’identité… Il semblerait que ça soit tout le contraire. Lors de l’ouverture d’un compte bancaire, la banque demande une carte d’identité ou un passeport. La banque possède donc une copie de votre document d’identité. À quoi sert-elle quand on voit le nombre de fraudes à l’ouverture de compte avec de faux papiers ? À quoi sert-elle quand n’importe qui peut aller récupérer votre carte bancaire avec un faux passeport alors que vous avez fourni à votre banque votre carte d’identité ? À rien (semble-t-il). Aucune vérification sérieuse n’est effectuée (ils n’ont même pas dû vérifier ma date de naissance sur le faux passeport). C’est comme la signature pour les chèques. On vous demande de faire une jolie signature pour vous identifier (et pas authentifier…). Mais la banque ne s’en sert pas pour contrôler sur le bon de retrait. Ni sur les chèques, si j’en crois de nombreux témoignages de victimes de vol de chéquier.

La majorité des agences bancaires ne semble donc pas respecter leur réglementation pourtant supposée assez restrictive. À lire cet excellent article sur le sujet. On y apprend des choses intéressantes. Quelques extraits :

Qui plus est, pour créer une personne physique « sans existence légale » ou des sociétés fictives, les investissements sont modiques : pour quelques centaines d’euros seulement, on trouve des matrices de cartes d’identité sur Internet ainsi que des « templates » de justificatifs de domicile, voire des « kits complets » dans lesquels sont inclus documents d’identité, titres de séjour, attestations de domicile (factures d’opérateurs téléphoniques, relevés EDF-GDF), bulletins de salaire et attestations employeurs, diplômes scolaires, ainsi que relevés d’identité bancaire, relevés de compte, bordereaux de dépôt de chèque…

Le cadre réglementaire existe au travers des devoirs de diligence imposés par le Comité de Bâle. Le plus important d’entre eux est le « Know Your Customer » (KYC), qui a un double objectif :

• s’assurer de la validité et de l’authenticité d’un document d’identité et des pièces justificatives de domicile ;
• contrôler que la personne est bien celle qu’elle prétend être.

Cependant, il appartient à chaque agence bancaire d’appliquer ces vérifications d’usage. Malheureusement, trop souvent, les chargés de clientèle ne sont pas suffisamment formés à la détection de faux documents. Ce n’est pas leur métier : beaucoup se contentent de vérifier les pièces d’identité à partir d’une simple photocopie – rendant impossible le contrôle des sécurités passives propres aux documents présentés (filigrane et non-fluorescence notamment) –, et cela une fois l’ouverture du compte réalisée. Or il existe des systèmes qui, automatiquement et en seulement 3 secondes, indiquent si un document est conforme ou non. 15 à 20 % des établissements bancaires français seulement en sont équipés. On peut d’ailleurs dresser une ligne de séparation entre pays latins et pays anglo-saxons : alors que la France, l’Italie et l’Espagne sont assez peu disciplinées dans ce domaine, et appliquent la directive a minima, la Grande-Bretagne, l’Allemagne, la Hollande et les pays scandinaves appliquent scrupuleusement ces obligations. Améliorer le contrôle d’identité dans les banques sur revue-banque.fr

Donc les obligations réglementaires existent (heureusement) mais sur le terrain on se rend rapidement compte que seul le minimum est mis en oeuvre. Manque de moyens ? Manque de sensibilisation ? Manque de formation ? Manque de volonté ? Manque de temps ? La sécurité coûte chère, même pour les banques. Elles préfèrent donc transférer le risque de fraude sur une assurance. Perdre du temps à vérifier un papier d’identité ou de comparer des signatures de chèques ne semble donc pas faire partie de leurs priorités.

Quoi faire alors ?

De nombreux témoignages sur Internet ou dans les médias traditionnels (je me rappelle d’un reportage d’Envoyé Spécial sur ce thème) ont largement démontré que l’usurpation d’identité est un véritable fléau aujourd’hui. Je ne rentrerai pas dans le débat lié aux nouvelles générations de papiers d’identité qui sont censées apporter une sécurité supplémentaire. Tout ce que je sais c’est que la biométrie n’aurait servi à rien dans le cas de la fraude dont j’ai été victime. Pourquoi ? Parce qu’un simple contrôle comparatif (la tête de l’escroc avec la photo de ma carte d’identité dont la banque a une copie) aurait suffi à démasquer le fraudeur. Pas besoin de haute technologie, juste d’une procédure simple, rapide et efficace. Je rajouterai même de bon sens.

Dans le cas des vols plus classiques de cartes ou de chéquiers, il faudrait peut-être penser à changer son fusil d’épaule et réfléchir à d’autres modes d’envoi de ces moyens de paiement. Privilégier les courriers recommandés ? Privilégier les envois directement à l’agence et l’envoi du code confidentiel par courrier recommandé (ou directement en agence) avec juste un e-mail ou un SMS indiquant au client qu’il doit se rendre à l’agence pour récupérer ces moyens de paiement ?

Dans tous les cas, la priorité est de renforcer les contrôles d’identité en agence bancaire. De la création de compte au retrait de carte bancaire en passant par les retraits d’espèces au guichet (ou les remises de chèques), ma petite expérience confirme une nouvelle fois (si je me fie aux témoignages publiés sur Internet par des centaines de victimes) que les moyens mis en place actuellement sont loin d’être suffisants.

Concernant plus globalement les fraudes aux cartes bancaires, j’insiste aussi sur le fait qu’il faut aller porter plainte. Même si ce n’est pas indispensable pour être dédommagé par la banque, il est important de montrer aux autorités l’importance des fraudes de ce type. Il me semble normal d’avoir, dans un Etat de droit, la possibilité pour une victime de porter plainte pour espérer un minimum de justice et ne pas donner aux fraudeurs en tout genre un sentiment d’impunité (qui reste assez vrai dans le cadre des délits commis sur Internet).

Etre victime d’usurpation d’identité peut transformer une vie en vrai cauchemar. Car ensuite, comment prouver son identité à la Justice ? Aux personnes qui vont vous réclamer de l’argent ? Usurper une identité en ligne est très simple. Usurper une identité dans la vie réelle n’est pas plus difficile. Internet a facilité l’achat de faux documents. La criminalité physique a rapidement trouvé en Internet un lieu de convergence avec la cybercriminalité. On trouve tout sur les forums cybercriminels : de la photocopie photoshopée (qui trompera déjà pas mal de services en ligne…) au vrai faux papier en passant par les justificatifs de domicile (facture de téléphone, d’électricité…).

Pour mon cas personnel, normalement je serai intégralement remboursé. Par contre, maintenant je sais que quelqu’un possède un faux document d’identité et qu’il peut usurper mon identité pour monter des arnaques et escroqueries en tout genre.

Et vous, que pensez-vous de ce témoignage ? Avez-vous déjà connu ce genre de fraudes ?

Que pensez-vous des mesures de sécurité mises en place par votre banque pour lutter contre l’usurpation d’identité ? Avez-vous des idées pour améliorer le système ?

3615 my life

Après l’ouverture d’un nouveau compte bancaire, j’aurais dû en effet recevoir une carte bancaire. Procédure classique : un courrier avec le code confidentiel accompagné d’un bon de retrait de la carte en agence. Et là c’est le drame car je n’ai jamais reçu ce courrier. Il y a donc deux semaines, je vérifiais mes comptes sur l’application iPad de la banque. Oups… un retrait de 500 euros datant de la veille. Problème : je n’ai jamais reçu le courrier et je ne suis donc jamais allé chercher ma carte… Je fais immédiatement opposition mais le mal est fait.

Le mardi suivant (et oui les agences bancaires sont fermées le lundi…), ma conseillère m’appelle et m’explique la situation. Une personne s’est présentée le samedi matin à l’agence pour récupérer ma carte bancaire en usurpant mon identité à l’aide d’un faux passeport à mon nom (je n’ai pas de passeport). #FAILED de compétition (pour la banque et pour moi par la même occasion…)

Pour récupérer et utiliser ma carte, l’escroc avait besoin du courrier, qui indique mon nom et mon code confidentiel, et qui est accompagné par le bon de retrait de la carte. Mon courrier a donc été intercepté (il n’y a pas qu’Internet qui n’est pas sécurisé…). Il a probablement dû être volé au centre de tri postal (ou alors c’est une fraude interne à la banque). Laissons la police faire son boulot. Dans tous les cas, cela reste une fraude certes classique (comme la police me l’a confirmé) mais sophistiquée dans l’approche : interception de courrier sensible, achat ou préparation d’un faux passeport et ensuite se risquer à récupérer la carte dans l’agence. Mission accomplie.

Conséquences

Mon compte s’est vidé de plusieurs milliers d’euros d’achat en magasins sur la seule journée de samedi. Heureusement que c’étaient les Soldes… Évidemment tout est couvert par l’assurance : cela semble en effet l’une des seules actions prises pour la banque pour réduire (enfin transférer) les risques de fraudes bancaires… Le montant élevé de la fraude s’explique par le fait que la carte volée était une Visa Premier. Ce type de carte possède un plafond de retrait et de paiement sur 30 jours assez important… Mais ça marche aussi sur une journée. Ces cartes bancaires ressemblent finalement beaucoup à des cartes de crédit. Pouvoir dépenser plusieurs milliers d’euros à partir d’un compte vide (!!!) en une journée tout en ayant un découvert autorisé de quelques centaines d’euros paraît surréaliste (la police a semblé surprise quand j’ai parlé de cela). Selon ma conseillère, les paiements par CB chez un commerçant ne sont verifiés qu’à posteriori… Il paraîtrait impossible de procéder à quelques contrôles avant le paiement d’importantes transactions (surtout si elles se multiplient sous 24h) pour vérifier le solde du compte / découvert autorisé et déclencher potentiellement une petite alarme dans le système informatique de la banque (envoi d’un SMS pour confirmation ?)

Direction le commissariat

J’ai rapidement porté plainte le jour de l’appel de ma conseillère. Au commissariat de police, on a tout d’abord essayé de me faire déposer une simple main courante (ils suivent bien les instructions du Ministère de la Justice…). Selon eux, la carte ne m’avait pas été volé car je ne l’avais jamais reçu (ça aurait donc été à la banque à porter plainte)… J’ai rétorqué (avec ironie) que je pouvais peut-être alors porter plainte pour usurpation d’identité. Finalement, ils ont bien pris ma plainte pour escroquerie, en râlant sur le fait que j’aurais du aller dans un autre commissariat et sur le peu d’informations que la banque m’avait fourni (apparence de l’escroc, lieu du retrait au DAB…). Certes la banque ne m’a pas dit grand chose mais n’est-ce pas leur boulot d’enquêter ?

Ils m’ont même demandé d’aller chercher la seule « preuve » physique : le bon de retait signé et touché par l’escroc. Au dernier moment, j’ai dû le ramener à la banque car la procédure policière n’était pas respectée…

Fin de la première partie. Dans mon prochain billet, je vous parlerai des failles mises en évidence par rapport à ce type de fraude. L’usurpation d’identité est en effet un véritable fléau contre lequel les banques doivent lutter en faisant beaucoup plus d’efforts.

Ces systèmes, utilisés par les infrastructures critiques (transport, nucléaire, électricité, gaz, eau, etc.), sont essentiels à leur fonctionnement. Sauf qu’ils sont de plus en plus souvent connectés à Internet. Et ils ne sont pas toujours très bien sécurisés… Pourquoi ? Bonne question. Certains de ses systèmes sont assez anciens mais cela n’explique pas tout. Je pense surtout que, comme pour beaucoup de systèmes « informatiques » (au sens large) la sécurité n’a jamais été une préoccupation majeure de leurs concepteurs et ensuite de leurs exploitants. Par exemple, dans l’affaire Stuxnet, on retrouve notamment des mots de passe codés en dur (#FAILED) dans leurs programmes. On ne peut donc pas les changer facilement et bien sûr tout le monde les connaît. On peut aussi tomber sur des systèmes protégés le login / mot de passe par défaut du constructeur…

#SCADA #FRANCE #FULLDISCLOSURE #FEAR

Avant hier soir, j’ai vu passer sur Twitter de nombreux liens accompagnés des hashtags #SCADA #FULLDISCLOSURE. Un peu inquiétant mais on commence à s’habituer. Un compte Twitter (@ntisec pour pas le citer mais il y en a sûrement d’autres) publie en effet depuis quelques jours sur pastebin.com des IP qui mènent à des interfaces d’administration de (potentiels) SCADA. Ce qui m’a interpellé c’est plutôt le hashtag #FRANCE accompagnant deux des tweets… @LoicBreat, qui a réagi à ces mêmes tweets, fait un petit WHOIS sur une des URLs et bingo. Je vous laisse jeter un oeil au screenshot.

Ce parc éolien français, géré par notre fournisseur d’électricité national, possède au moins un système équipé par un logiciel de type SCADA, dont l’interface est accessible facilement depuis Internet. Peut-être que le risque associé est faible, je ne sais pas, je ne suis pas un expert des systèmes SCADA (mais c’est un métier d’avenir !). Mais est-il normal de laisser accessible à tous ce genre d’informations sur Internet ?

Après quelques recherches sur Internet, on sait même à quoi ressemble le terminal (sur l’URL d’administration, on a les numéros de version qui vont bien et bien sûr le modèle du terminal).

Encore un produit Siemens…

Que dire de plus ? Je parlais dans mon dernier billet de fondamentaux de la sécurité. Mais ici on parle (en plus) de systèmes critiques qu’on imaginait un peu plus protégé. Alors oui, il n’y a pas eu encore de conséquences sur des vies humaines ni de dégâts matériels (à notre connaissance). Peut-être également qu’accéder à ce terminal ne mène à rien. Mon but n’est pas de dramatiser à outrance ces cyber menaces.  Mais pourquoi se compliquer la vie en laissant des « portes ouvertes » de façon si ostentatoire… Car ces données, une simple recherche sur Google ou Shodan permet de les (re)trouver. Pour les plus feignants, le moteur de recherche de pastebin.com fonctionne très bien.

Malheureusement on n’a pas fini d’entendre parler ni de sécurité ni de SCADA… Pour ne pas rester sur une note négative et être un peu optimiste, pas mal d’initiatives (américaines notamment) ont commencé à émerger depuis quelques années sur la cyber sécurité des SCADA. Le problème est connu, les solutions existent (la documentation sur le sujet existe en quantité) mais elles coûtent chères. A suivre…

Back to Basics sera une série de billets consacrés aux fondamentaux de la sécurité informatique. En effet, avant de parler des grands systèmes de sécurité à la mode, il est indispensable d’en revenir aux bases, aux bonnes vielles pratiques de sécurité. Des règles qui semblent si triviales qu’on pourrait croire qu’évidemment tout le monde les respecte. Erreur. Il suffit de prendre les cas Stratfor ou Sony pour avoir de bons exemples de ce qu’il ne faut pas faire ! A ce niveau, ce n’est même plus des erreurs mais bien des fautes professionnelles.

Mais où sont passés nos fondamentaux de la sécurité ? Qui sait choisir un mot de passe sécurisé ? Qui sauvegarde bien ses données ? Qui s’informe sur les dernières menaces pouvant potentiellement toucher son SI ? Qui met à jour régulièrement ses serveurs, ses postes de travail sans oublier ses plugins Java, Flash ou Reader ? Qui a pris le temps de former, d’informer des collègues sur les risques liés au non respect de cette belle politique de sécurité ?

Je ne cherche pas à caricaturer. Nous savons tous que c’est la réalité de tous les jours. La sécurité reste et restera l’affaire de tous. Osons même le mot responsabilité. Après, je ne nie pas la difficulté d’allier sécurité et business au quotidien : les contraintes métier, les coûts, les réticences des utilisateurs ou encore les conflits de personnes (et les problèmes politiques internes…).

L’objectif de cette série d’articles est de définir (ou tout su moins de rappeler) des règles de bonnes pratiques que chacun d’entre nous devrait respecter. J’aime parler dans ce cas de « cyber hygiène« . Patrick Pailloux, directeur général de l’ANSSI, semble préférer la notion d’hygiène informatique. L’analogie avec le monde médical me semble bien adaptée. On n’éliminera pas avec ces simples mesures d’hygiène les menaces les plus avancées mais on évitera les petits bobos qui, en informatique, peuvent prendre rapidement des proportions importantes rien qu’en termes d’image de marque et de confiance.

En conclusion : qu’on soit un simple utilisateur, un administrateur système, un consultant en sécurité, un développeur, un journaliste, un commercial toujours sur la route ou le big boss, chacun a son niveau se doit de connaître et de respecter des règles, souvent de bon sens, qui vont permettre de limiter les risques informatiques.

Pour compléter cette future série d’articles, vous avez la possibilité de donner votre avis via les commentaires de ce blog ou via les réseaux sociaux (Twitter ou sur la page Facebook). Si vous avez des exemples concrets de ce qu’il ne faut pas faire et d’une règle de cyber hygiène associée, lancez-vous !