Spécial sécurité : Psychose toujours, la rançon de l’alarmisme

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, rapprochent terrorisme et cyber-terrorisme, en expliquant qu’en matière de psychose, les deux se rejoignent. Ils évoquent ensuite les budgets informatiques étonnamment en recul pour 2011, alors que la cyber-criminalité bat son plein, puis décortiquent une faille de Help Center Protocol avant de s’arrêter sur un concours d’ingénierie sociale à le DefCon.

Sommaire :
1 - Psychose toujours, la rançon de l’alarmisme
2 - Budgets sécurité : en recul pour 2011
3- A l’aide !!! Boum ?
4 - Defcon : Concours d’ingénierie sociale

1 - Psychose toujours, la rançon de l’alarmisme
Certains terroristes (pas cyber), ne reculent devant aucune bassesse, nous explique un article d’ABC. Plutôt que de poser des bombes, ils terrorisent la population américaine et désorganisent les services de déminage en camouflant des colis aussi suspects qu’innocents dans des lieux publics. Une tendance d’autant plus grande qu’à la psychose consciencieusement entretenue par les médias et les hommes politiques s’ajoute les tactiques de déstabilisation des mouvements jihadistes. Lesquels, révèle un spécialiste des bombes et vieux de la vieille du NYPD, incitent leurs militants à multiplier ces «fausses attaques à la fausse bombe ».

Nos confrères d’Outre Atlantique commenceraient-ils à comprendre comment précisément fonctionne le terrorisme ? Un petit tiers de bombes, un gros tiers de pression psychologique, un tiers de propagande et un dernier tiers de démagogie*. C’est précisément cette pression psychologique qui entraîne la partie adverse dans une chasse au danger hypothétique, coûteuse, souvent vaine, et d’autant plus énergivore que ladite partie adverse aura joué sur la corde sensible de l’alarmisme.

Fort heureusement, les bombes dans notre secteur informatique à nous font nettement moins de victimes… ce qui ne veut pas dire qu’elles provoquent moins de psychose. La meilleure preuve qui soit est la facilité avec laquelle certains internautes achètent sans hésitation des « scarewares », ces véritables « faux antivirus ». Dans ce cas précis, c’est une psychose exacerbée, une crainte du danger aiguillonnée par des médias, par de « doctes conseillers », par des experts pas si indépendants que çà qui poussent l’usager à faire preuve d’un réflexe pavlovien.

*NDLC Note de la Correctrice : dans des proportions équivalentes à celles du picon-citron-curaçao bien sûr.



2 - Budgets sécurité : en recul pour 2011
Selon une récente étude du Gartner, les budgets consacrés à la sécurité des départements IT pourraient subir un recul de 3 à 6% en 2011. Très prudente, la société d’analyse de marché précise que ces réductions n’affecteront que les sociétés déjà classées dans la catégorie des « efficient & secure enterprises ».

D’une manière générale, les budgets sécurité devraient en moyenne graviter aux alentours de 5% de l’enveloppe de crédit IT en 2011, contre 6% en moyenne cette année. Globalement, les crédits IT seront en croissance de 2%. En valeur, cela représente près de 525$ d’investissement par an et par employé. Certains secteurs se montrent pourtant plus dispendieux, tels les assurances (886 $), les services professionnels (836$), les services gouvernementaux (671$) et le secteur financier (637$ per capita).

Si l’on considère la ventilation des investissements par secteur, les personnes interrogées mettent en avant, dans 40 % des cas, les IPS, la gestion des correctifs, les DLP, les antivirus et la gestion des identité. Sous un angle géographique, les entreprises américaines sont les plus enclines à investir dans la sécurité (5,5% du budget IT). Les autres parties du monde sont plus économes : 4,8% en Amérique latine, 4,3% en EMEA, 5% en Asie.


3- A l’aide !!! Boum ?
L’on se souvient de la faille Win32hlp ( découverte il y a trois mois par Maurycy Prodeus. Celle dévoilée par le talentueux Tavis Ormandy est tout aussi savoureuse, voire même plus subtile, puisqu’elle repose sur un défaut d’interprétation du protocole hcp, le Help Center Protocol, reconnaissable grâce à l’url « hcp:// ». « Aurais-je signalé qu’il était possible de forger une réponse pour accéder au poste requêteur à distance que l’on ne m’aurait prêté aucune attention » dit en substance Ormandy à la fin de son communiqué. Communiqué qui intègre notamment une preuve de faisabilité.

Certes, cette attaque implique que l’attaquant puisse se substituer au centre d’aide et de support en ligne de Microsoft, et que la victime n’utilise pas un noyau trop récent (l’attaque n’est censée fonctionner pour l’instant que sur les plateformes XP/2003). Le risque est pourtant non nul et repose, une fois de plus, la question de la confiance que l’on doit apporter aux services en ligne des éditeurs possédant une bonne « réputation ».



4 - Defcon : Concours d’ingénierie sociale
Après les réseaux WiFi et les programmes en assembleur, l’équipe de la DefCon et Social-Engineering.com organisent (c’est une première) un nouveau genre de concours « Capture the Flag » : une course à la collection d’indices trainant sur Internet. Le règlement est simple. Après inscription, chaque participant se verra recevoir l’URL d’une entreprise. Au « top départ », les concurrents devront utiliser tout ce qui est en leur pouvoir pour collecter sur Internet un maximum d’informations sur l’entreprise en question. Interdiction est faite de « provoquer » les fuites par envoi d’un email, coup de téléphone ou rencontre physique. Durant la conférence, un court moment de parole sera donné à chaque participant pour décrire la technique de récolte d’informations et présenter les découvertes effectuées, puis 20 minutes seront consacrées à chaque participant pour lancer leur attaque et récupérer une information précise. Le règlement est drastique et insiste sur certains points moraux. Notamment ne pas porter atteinte à la cible ou à ses employés, ne rien faire d’illégal, n’attaquer ou ne collecter aucune donnée « sensible » telle que des mots de passe ou des numéros de cartes de crédit, ne jouer sur aucune corde de type FUD, scareware et autres pratiques intimidantes…

Les entreprises « cibles » seront suggérées par les participants eux-mêmes, mais il n’est absolument pas certain que ces mêmes participants se verront attribuer la « victime » de leur choix. Le site des organisateurs foisonne de techniques et de recommandations, et mériterait la création d’un « dépôt » traduit en français.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)