Spécial sécurité : Microsoft, une nouvelle couche de SIR
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur le dernier MS Security Intelligence Report et nous donne leur grille de lecture de ces résultats. Puis ils s’arrêtent sur une étude de Bit9 qui détaille les craintes des entreprises françaises en matière d’attaques informatiques, avant de terminer par une autre étude, celle de Pricewaterhousecoopers, qui indique que les dépenses en sécurité des entreprises britanniques ne sont en rien alignées sur leur peur des attaques.
Sommaire
1 - Microsoft, une nouvelle couche de SIR
2 - Hackeu fais-moi peur !
3 - Infosec : la crainte ne débloque pas les budgets
1 - Microsoft, une nouvelle couche de SIR
Les rapports Microsoft sont comme les radis et les « patchs Tuesday » : d’une régularité métronomique. Et c’est sans surprise que s’est faite l’annonce du tout dernier MS Security Intelligence Report consacré au semestre juillet-décembre 2011.
Le SIR,rappelons-le, est le résultat de métriques réalisées grâces aux remontées des honeypots « maison » de Microsoft, des statistiques des différents services « live » (messagerie hotmail, protection A.V. Live Essential etc.) et surtout aux retours effectués par la base installée des antivirus clients répartis dans le monde. Ce n’est donc pas une enquête d’opinion sur les risques fantasmés de la délinquance informatique, mais un cliché, un état des lieux de l’activité des malwares sur une période de 6 mois.
Le premier constat du SIR ressemble à un chant désespéré (ceux qui sont les plus beaux et les plus entêtants) : Conficker n’en finit pas de mourir à très petit feu. 1,7 million de systèmes étaient encore compromis fin 2011. 1,7 million de systèmes victimes donc d’une exploitation visant une faille comblée depuis belle lurette et combattue par tous les antivirus, même les plus poreux de la création. Au total, 220 millions d’ordinateurs auront subi les foudres de Conficker depuis sa naissance.
Pourquoi cette rémanence ? On est encore dans le registre des litanies et des ritournelles connues : le manque d’attention de la part des usagers, notamment en matière de complexité de mots de passe. Une négligence qui n’est pas sans rapport avec la persistance de Conficker, qui ne possède pas un dictionnaire d’attaques particulièrement performant et qui parvient pourtant à survivre. Autre terreau favorable à la survie de cette infection, le manque de suivi des politiques de mise à jour et de déploiement de correctif. Question d’autant plus épineuse pour Microsoft l’enquêteur qu’une partie de la réponse échappe totalement à Microsoft l’éditeur de systèmes d’exploitation. Les attaques fructueuses visent moins le noyau Windows que les applications Java/html. Cette confusion des genres entre la notion de « système d’exploitation non-patché » et de « système (tout court) non patché » fait encore des ravages. La faute peut-être à Microsoft, qui a trop mis en avant ses efforts fournis pour propager la bonne parole du TWC (informatique de confiance) et qui a polarisé toutes les attentions sur l’importance d’une bonne maintenance des noyaux. Mais l’informatique au quotidien, c’est 20 % à 50 % de Microsoft, 50 à 80 % de non-Microsoft qu’il faut également corriger. Las, la plateforme Windows ne possède pas d’outil natif de déploiement de correctifs universels.
Partant de ce constat, les tenants du « côté obscur de la force » en profitent. « Il n’y a pas de différence technique fondamentale entre une APT et une attaque générale, entre un assaut permanent et ciblé visant une grande entreprise et un botnet cherchant à recruter des machines zombies », explique Bernard Ourghanlian, Directeur Technique et Sécurité chez Microsoft. Les ingrédients ne changent pas, même si la recette, la façon d’utiliser les exploits, change avec le type d’attaque. Paradoxalement, jamais le secteur industriel n’a été aussi bien équipé. Les outils de protection, les firewalls, les IPS s’entassent sans parvenir à intercepter les tentatives d’intrusion. Eux aussi sont frappés du syndrome de la configuration par défaut, du mot de passe faible ou du correctif mal déployé.
Achevons cette lecture très rapide et superficielle du SIR avec deux notes optimistes. En premier lieu, la confirmation de la baisse progressive du spam : 35 milliards d’emails bloqués en janvier 2011, 13 à 14 milliards « seulement » interceptés en novembre-décembre (statistiques hotmail). Des proportions analogues ont été constatées par des opérateurs de messagerie cloud concurrents. L’autre bonne nouvelle concerne la bonne tenue du parc français aux infections et attaques diverses. Le taux d’infection oscille aux environs de 3,8 pour 1000 machines, à comparer aux 7,2 pour 1000 de la moyenne internationale. En revanche, les addware frappent plus fort que partout ailleurs, avec un taux d’espionniciels commerciaux passant la barre des 53%... contre 17 à 18% dans le reste du monde. Il n’existe pas d’explication plausible à ce particularisme national et à la bonne santé de ces hotbar et autres maladies transmissibles par navigateur.
2 - Hackeu fais-moi peur !
Parfois, les communiqués de presse font peur à la France qui a Peur. La dernière production de Bit9 débute par l’affirmation suivante : « Dans une étude réalisée auprès des responsables européens de la technologie informatique, 50% des entreprises françaises interrogées ont déclaré qu'elles s'attendent à une cyber-attaque dans les six prochains mois. Contrairement aux autres régions interrogées, les concurrents commerciaux sont considérés en France comme les premiers coupables (45 pour cent) »… alors que la psychose de l’espionnite concurrentielle ne touche en moyenne qu’entre 31 et 35 % les « responsables » des autres pays d’Europe.
Donc, dans les 6 mois à venir, le tissu informatico-industriel National va se faire Tsunamiser par des hordes de botnets lancés à 45% par des concurrents, et à 65% par des petits hackers chinois. Madame Desachy, l’Anssi et les limiers de l’IRCGN devraient prendre des leçons. Ca, c’est de la défense proactive de première qualité, de la divination mathématique de haut vol. Sur quelles bases scientifiques reposent ces estimations ? Mystère. Quels éléments concrets viennent étayer ces craintes ? Nul ne le sait. Mais, continue l’étude, « les autres menaces identifiées sont les hacktivistes / les organisations anonymes (35 pour cent), les pirates électroniques (31 pour cent) et les employés mécontents (29 pour cent) ». Reste 5 % dans lequel doivent probablement se réunir les employés mécontents appartenant à des organisations anonymes en dehors des heures de travail et se livrant à des activités de pirates électroniques, et quelques islamistes pédophiles téléchargeurs massifs. Et l’étude de préciser que sur un millier de responsables informatiques de France, Allemagne, Espagne et Royaume-Uni, « 58 pour cent pensent qu'il existe aujourd'hui plus d'attaques organisées par des hackeurs, groupes criminels organisés et des états-nations qu'auparavant. Seul 11 pour cent pensent qu'il n'existe aucune menace et qu'il ne s'agit que de sensation médiatique ». Métrique intéressante qui mesure ce que l’on « pense » et ce que l’on « voit dans les journaux ».
Et l’étude de continuer sur une longue énumération des risques et des méthodes d’attaques, des craintes et des superstitions. L’exposition aux risques des bases de données, l’importance stratégique des fichiers comportant des données personnelles ou des informations financières, le danger que représentent les multiples troyens, rootkits, abominables prises USB laissées à l’abandon dans les bras irresponsables des employés... Ah, DLP, quand tu nous tiens !
Si un tel « sondage d’opinion » portant sur des impressions n’apporte strictement rien en terme de métrique scientifique (il s’agit en fait d’une « quantification de la peur par type de menace »), ce genre d’étude fait tout de même ressortir l’état de psychose dans lequel certains responsables informatiques sont plongés. De Loppsi en LCEN, l’instillation de la terreur fait son chemin, et les menaces, même les plus improbables (les attaques chinoises par exemple, ou l’ennemi de l’intérieur qui ne cherche qu’à couler l’entreprise qui le nourrit en période de crise) prennent plus de corps que la négligence caractérisée d’une politique de déploiement de correctifs traitée par-dessus la jambe. C’est le « je ne sais quoi » et le « presque rien » Jankélévichien qui fait osciller le responsable d’entreprise entre l’état de préoccupation et l’état de paranoïa.
Certes, les risques existent. Mais l’expérience nous apprend qu’une grande majorité d’entre eux ont moins pour origine les hacktivistes ou les déferlantes virales que l’usage irréfléchi d’une configuration par défaut, l’adoption trop rapide d’une technique (technologie disent les journaux branchés) dont les plâtres n’ont pas été essuyés. L’étude commanditée par Bit9 est à lire absolument, car elle reflète les craintes de ceux qui chapotent généralement les RSSI… et non la réalité de la sinistralité. C’est donc un livre ouvert sur les incompréhensions, un dictionnaire indispensable pour apprendre à vendre l’idée de la sécurité, celle qui n’est pas et n’a jamais été un poste de profit, et qui passe si mal lorsque l’on tente d’en exposer simplement les tenants et les aboutissants. Mais il n’est pas nécessaire de lire les centaines d’autres rapports du même calibre, ceux-là même qui cherchent à quantifier des avis et des impressions plutôt que des recensements d’attaques réelles ou des statistiques directement tirées des logs de nos machines.
3 - Infosec : la crainte ne débloque pas les budgets
La société d’études Pricewaterhousecoopers vient de publier, à l’occasion du salon Infosec Londres, les résultats d’une étude sur l’état de la sinistralité informatique non accidentelle en Grande Bretagne (447 entreprises consultées). Selon les résultats de l’enquête, une grande entreprise sur sept aurait été hackée avec succès au cours des 12 mois précédents. Une tentative d’intrusion par semaine, tel serait le rythme des attaques ; proportion qui diminue avec la taille de l’entreprise, puisque dans la tranche PME, cette fréquence ne passe pas le seuil d’une attaque par mois. Les cas de vols et usurpations d’identités (ou d’identifiants) ont été multipliés par 3 depuis 2008, visant essentiellement les services financiers. Pourtant, constate le PwC, 20% des entreprises concernées consacrent moins de 1% de leur budget TIC à la défense des systèmes. Restons dans les estimations financières en relevant deux autres chiffres, ceux des montants moyens des pertes occasionnées par les intrusions effectives : entre 110 000 et 250 000 Livres Sterling côté grandes entreprises, et entre 15 000 et 30 000 Livres côté PME.
L’évolution des budgets sécurité Britanniques ne s’avère guère éloignée de celle constatée en France. En moyenne, les RSSI bénéficient d’une enveloppe de 8% du budget TIC de leur entreprise, tandis que les sociétés qui ont fait les frais d’une attaque consacrent… 6,5% du budget TIC. Minoration superstitieuse ?