Spécial sécurité : cherche techno-plombier pour colmater fuites de fichiers
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, décortiquent deux rapports sur les fuites de données aux Etats-Unis. Etant entendu que, pas plus que le nuage de Tchernobyl, le phénomène n'affecte la France. Avant de revenir sur l'infection Zeus qui sévit sur la plate-forme EC2, le cloud computing d'Amazon.
Sommaire :
1 - Cherche techno-plombier pour colmater fuites de fichiers (1)
2 - Cherche toujours techno-plombier pour colmater fuites de fichiers (2)
1) Cherche techno-plombier pour colmater fuites de fichiers (1)
S’il est une chose que l’Amérique nous envie, c’est bien l’imperméabilité de nos frontières, qui résistent aux nuages radioactifs et aux pertes de données bancaires, administratives ou médicales. Le bilan de l’ITRC – Identity Theft Resource Center -, organisation répertoriant les fuites d’identité sur le territoire US, vient de publier son bilan annuel. Au premier abord, la « croissance des pertes » est vertigineuse : 469 brèches de sécurité déclarées, plus de 222 millions d’enregistrements potentiellement dans la nature. L’an passé, les failles recensées étaient plus nombreuses - 656 - mais le nombre d’enregistrements à caract ère personnel perdus était bien moindre : 35,7 millions. En d’autres termes, le volume des données perdues a augmenté selon un facteur de 6,2 d’une année sur l’autre.
Des statistiques qui vont faire se frotter les mains des marchands de DLP de tous crins. Mais des statistiques qu’il faut tout de même prendre avec une certaine prudence, car cette augmentation des « fuites déclarées » reflète également, courant 2009, la généralisation des lois obligeant les exploitants de fichiers à rendre public ce genre d’accident. Encore est-on loin de la vérité. Certains états parmi les plus conservateurs ne considèrent cette publication obligatoire que sous certaines conditions : lorsqu’une intrusion a été techniquement prouvée et constatée, lorsque les données n’étaient pas chiffrées… Les « disques égarés » et les « bandes perdues » n’entrant plus du tout dans les statistiques, pas plus que les disparitions non élucidées. On est donc loin des dispositions plus drastiques telles que celles imposées en Californie. Reste que les entreprises implantées dans différents Etats américains sont tenues de se plier aux règlementations les « mieux-disantes » à l’égard des victimes potentielles.
Sont également à prendre en compte les affaires exceptionnelles, qui rendent parfois chaotiques les interprétations et faussent tout espoir de comparaison ou de moyenne lissée. Cette année, c’est le hack de l’intermédiaire Heartland Payement System qui donne une attaque de tachicardie au rapport de l’ITRC, avec quelque 30 millions de numéros de cartes de crédit dans la nature. A ceci s’ajoute une fuite de 76 millions d’enregistrements par l’armée US (bulletin ITRC002-02). Si la perte de Heartland était sans contestation possible le fruit d’un hack à l’échelle nationale, la perte signalée par l’armée n’était que le fruit d’une étourderie sans probable conséquence : le service de maintenance de la caisse de retraite des armées avait envoyé en maintenance un disque appartenant à un groupe d’unités montées en RAID 5, sans que le disque ait été dégaussé avant envoi. Difficile, parfois, de déterminer le niveau de risque associé à une perte.
Autre chiffre qui ne fera pas non plus plaisir aux vendeurs de DLP, 27 % des fuites déclarées ont utilisé un « canal papier », contre 17 % l’an passé. L’évasion par égarement d’un dossier en pochette cartonnée ou par sortie imprimante contourne sans problème les firewalls les plus sophistiqués et les consoles d’administration de GPO haut de gamme. C’est là une preuve d’adaptation certaine des fraudeurs aux contremesures techniques appliquées par les DSI. C’est également le signe d’une très nette dégradation des rapports de confiance entre les directions et leurs cadres, situation qui n’est pas prête de s’améliorer si l’on en juge par les prévisions pessimistes des économistes pour l’année 2010.
2) Cherche toujours techno-plombier pour colmater fuites de fichiers (2)
KPMG, de son côté, publie l’exact pendant de l’étude de l’ITRC, mais focalisé essentiellement sur l’industrie, et ne portant que sur les 6 premiers mois de l’année 2009. L’accent est mis dès les premières pages sur les vilains « insiders » dont la progression des méfaits est en hausse de 50 %... Ca va faire trembler dans les chaumières. Les collaborateurs véreux, cancer de l’entreprise, catalyseurs de tous les prétextes à la fouille patronale et à vidéosurveillance, ont été responsables de la fuite de 100 000 enregistrements en 2008 et 1,6 million en 2009. Progression impressionnante, mais volumétrie ridicule en regard des autres facteurs de perte. Chiffres à comparer aux 97 millions d’enregistrements déclarés « enfuis » l’an passé et 105 millions cette année. L’abominable insider ne constitue donc pas même 2 % des pertes d’information, mais peut coûter, si l’on examine les tendances des marchés DLP et assimilés, plus de 30% des budgets sécurité des entreprises. La première conséquence que risque de provoquer la « psychose du traître de l’intérieur » est précisément d’établir un climat de suspicion qui a de fortes chances d’éveiller des vocations de « traître de l’intérieur ». Ce qui ne veut pas dire qu’il ne faille pas appliquer un stricte contrôle des GPO et des médias d’accès.
Si l’on tente de répertorier les causes de ces pertes, le hacking, toujours selon KPMG, vient en première place, avec un record de 105 millions d’identités affectées. Loin devant les « Web & network exposures » (2,7 millions), autrement dit les failles réseaux et Web, les défauts de configuration et les imperfections de programmes. Rien de nouveau sous le soleil si l’on suit avec attention les travaux de groupes tels que l’Owasp, de l’APWG et autres observateurs de la sphère cybercriminelle.
Sur la période janvier/juin 2009, les données les plus volatiles ont été celles contenant des informations bancaires, numéros de cartes de crédit ou de compte, avec 100 millions d’enregistrements déclarés perdus. Nihil nove sub sole. Viennent ensuite les identifiants gouvernementaux (plus de 4 millions de numéros d’ID perdus par l’Administration Fédérale) et les informations financières (2,5 millions d’enregistrements). Ces proportions sectorielles sont toutefois à prendre avec des pincettes, car plus de 15 millions de données volatilisées, toujours durant les 6 premiers mois de l’année 2009, sont classées dans les catégories « autres informations personnelles » et « divers et inconnus ». Ces chiffres confirment d’ailleurs d’autres études prouvant le manque de maîtrise des contenus informatiques dans certains domaines moins contraints par les normes de sécurité. D’autres études, notamment celle récemment publiée par Cyber-Ark, tendaient à prouver que les secteurs de la grande distribution et de l’agroalimentaire étaient moins attentifs et précautionneux que les entreprises des domaines techniques ou financiers. L’on se doute qu’il y a là la preuve d’une influence plus ou moins prégnante d’une « culture IT » dans les industries tertiaires.
Sur les vecteurs et moyens de pertes d’informations, là encore, l’étude de KPMG « colle » à celle de l’ITRC. Les méthodes de vols les plus prisés utilisent dans 46 % des cas les canaux de messagerie électronique, dans 22 % le support papier, tandis que 9 % des détournements se font par le biais d’unités de stockage externe (clefs USB, disques amovibles, disquettes, CD-ROM) et 7 % empruntent les voies détournées et complexes des « activités suspectes sur les bases de données ». Là encore, l’évolution des chiffres montre à quel point les dangers que l’on craint le plus sont généralement ceux qui sont le moins probables.
Si les mécanismes des vols d’information sont parfois contestés et toujours mouvants, leurs destinations (leurs premiers bénéficiaires) sont sans conteste les concurrents directs, affirment les statisticiens de KPMG. Dans 70 % des cas, une information volée « moved to competitor ». Dans 1 % des cas, cette information est vendue. Peut-être est-ce là la preuve que le « competitor » en question ferme volontiers les yeux à un cheval donné, même si sa provenance est douteuse, mais qu’il n’est pas prêt à tremper activement dans un véritable trafic de données. Voilà qui ne peut que rappeler l’affaire du fichier HSBC que le ministère du Budget « n’aurait en aucun cas acheté ». Recel de fichier est à moitié pardonné.
Aussi impressionnants soient-ils, ces chiffres sont pourtant très loin de refléter la réalité, insiste le rapport. « le baromètre des pertes de données a recensé plus de 2 300 incidents, lesquels ont concerné au total près de 700 millions d’individus. Mais comme la majorité des atteintes ne sont pas déclarées, il y a de fortes chances que [ces chiffres] représente la partie émergée de l’iceberg ». D’ailleurs, en lisant entre les lignes dudit rapport, les chercheurs de KPMG avancent des explications sur l’origine de la baisse drastique des pertes de données liées aux composants mobiles. Les clefs USB ou les téléphones égarés constitueraient de plus en plus la « banalité du quotidien » et seraient donc moins susceptibles d’êtres rapportés… à quelques affaires exceptionnelles près. Les pertes de bandes magnétiques sont en chute libre, les clefs USB et CD baladeurs se volatilisent dans le domaine de l’acceptable, et seuls les disques durs voient leurs taux de perte croître de manière significative. Peut-être en raison du coût que représente l’équipement et de sa taille par rapport à une clef USB… Les chiffres avancés ne reflèteraient alors que l’intérêt que l’on peut porter au support, et non plus l’importance des données qu’il contient. Ce n’est guère rassurant.
Le rapport KPMG compte 28 pages. C’est bien plus que les quelques feuillets froidement objectifs de l’ITRC. C’est bien mieux mis en valeur surtout, grâce a quelques graphiques très explicites, grâce également à des commentaires passionnants (quoiqu’orientés) sur les causes et conséquences du « data loss » en entreprise. A lire comme un bon roman d’horreur et de suspense, puisque de telles choses n’arrivent jamais en France.
Lorsque les gourous de Neohapsys ont envisagé d’utiliser la plateforme Cloud EC2 d’Amazon pour modéliser une attaque pirate, la communauté savante a admiré cet exercice intellectuel. Sans plus. Mais en matière de hack, la frontière entre la théorie et la pratique est parfois ténue. Pour preuve, l’équipe sécurité de CA a détecté une véritable vague d’infection Zeus dont le C&C reposait sur des serveurs Cloud d’Amazon. Voilà qui fait immanquablement penser à la réplique de Raoul Volfoni : « On a la puissance de feu d'un croiseur et des flingues de concours ». Là, à moins d’un hasard, il y a peu de chances qu’un domestique stylé arrive à point nommé, tel CA, pour désarmer l’adversaire.