NSA : l’évolution des menaces commande à la défense d’adopter le mode de pensée de l’attaque
Historiquement, la National Security Agency (NSA) américaine est plutôt connue pour sa discrétion. Mais l’un des principaux dirigeants du centre de défense opérationnel de la NSA s’est récemment fait entendre haut et fort, soulignant l’ampleur et la vitesse de développement de la menace informatique et ce que cela implique, du côté de la défense.
Au cours d’une intervention lors de la NSA Trusted Computing Conference and Exposition, Anthony A. Stramella, assistant spécial du directeur de a NSA, a expliqué la manière dont son organisation a évolué depuis ses origines. Lorsqu’elle se spécialisait dans l’interception des signaux radios, jusqu’à aujourd’hui où l’une de ses premières missions consiste à identifier et à contrer les menaces informatiques visant les Etats-Unis.
Stramella a multiplié les statistiques et les exemples d’exploits largement médiatisés pour illustrer pour non seulement la diversité de son activité - ce que surveille la NSA tant pour les consommateurs que pour le gouvernement américain - mais aussi à quel point l’industrie de la cybersécurité est confrontée à un défi pour établir une défense effective.
C’est d’autant plus un défi que les Etats-Unis sont parmi les nations les plus connectées à Internet, dans un monde où se trouvent 2 milliards de terminaux connectés - un chiffre qui pourrait dépasser le nombre d’habitants de la planète d’ici 4 ans.
Stramella affirme que 40 ans après l’apparition du premier virus informatique, les logiciels malveillants continuent de gagner en sophistication, comme l’ont démontré Koobface, Conficker, et Stuxnet, notamment. Toutefois, on compte plus de 68 000 outils de piratage en libre accès sur Internet - dont beaucoup ne nécessitent pas de connaissances particulières pour être utilisés efficacement par un pirate.
Les logiciels malveillants sont la menace la plus visible. Mais Stramella a également cité des menaces moins médiatisées mais tout aussi dangereuses pour les consommateurs et les entreprises, sinon plus. Par exemple, télécharger des applications est devenu très commun pour de nombreux utilisateurs de smartphones Android ou d’iPhone. Mais Lookout Inc. a relevé, en 2010, 80 applications sur l’Android Market capturant des données personnelles de l’utilisateur à son insu. Et l’une d’entre elles les envoyait en Chine.
Pour lui, le manque de sécurité dans les applications gratuites ou peu chères ne devrait pas être une surprise. À ce propos, il se souvient de la mésaventure d’un ami qui a découvert un logiciel de sécurité installé à son insu sur son smartphone après le téléchargement d’un jeu de golf à 0,99 $. «Quel est le niveau de sécurité d’une application à ce prix-là ? Je le demande !», s’interroge Stramella. «Et tout le monde utilise aussi ces appareils pour des opérations de banque en ligne et pour de nombreuses autres !»
Mais le matériel présente aussi des défis, souligne-t-il, relevant que le service des douanes américain a saisi 5,6 millions de puces informatiques contrefaites entre novembre 2007 et mai 2010, dont nombre devait servir à des applications militaires sensibles.
Stramella insiste sur le sentiment erroné de sécurité qu’apportent les mots de passe. Selon lui, des outils déjà disponibles peuvent casser un mot de passe à huit caractères en moins d’une heure. Et des outils plus sophistiqués peuvent déchiffrer un mot de passe de 14 caractères en moins de trois minutes.
«La menace est considérable, elle est réelle et elle progresse. Et pour vous défendre contre cette menace, vous avez besoin de la connaître », explique-t-il. «Vous avez besoin de penser comme l’adversaire. Et il est également important de développer des contre-mesures contre la menace.»
Cet effort, indique-t-il, doit permettre aux experts de sécurité de suivre plus de formations pour s’éveiller aux techniques d’attaque émergentes, ainsi que pousser les gouvernements et des acteurs du secteur privé à développer une compréhension partagée de la menace et de la manière dont les attaques peuvent être circonscrites rapidement. Tout cela afin de permettre la mise en place rapide d’actions coordonnées, en cas de nécessité.
William Bass, de SRA International, qui assistait à ce discours, a indiqué se sentir concerné par toutes les menaces évoquées par Stramella. Mais encore plus particulièrement par celles visant Internet Explorer.
Bien que confiant dans les contrôles de sécurité de son organisation, il a estimé que la présentation attirait l’attention sur le risque constant qui pèse sur les données sensibles des entreprises, et en particulier sur les numéros de sécurité sociale et les informations personnelles des clients. Des données qui doivent faire l’objet d’une vigilance toute particulière.
Adapté de l'anglais par la rédaction
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
D3fend, le framework défensif construit à partir de la connaissance de l’attaque
-
Services d’accès distant, certificats numériques : deux failles critiques à corriger
-
Microsoft corrige à nouveau des vulnérabilités dans Windows XP
-
Microsoft : les systèmes qui ne sont plus supportés sont fortement menacés par la NSA