Spécial sécurité : Les wifi peu sûrs fleurissent à la City et à Wall Street

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères évoquent les légendes urbaines touchant le SI, les problèmes de l’immobilier assisté par ordinateur et l’insécurité des wifi boursiers.

Sommaire :

- 1 - Le « traître interne » n’existe (presque) pas

- 2 - CAO : Cambriolage Assisté par Ordinateur

- 3 - WiFi : 57% des routeurs sont ouverts dans la « City » ou à Wall Street

Le « traître interne » n’existe (presque) pas

Légende urbaine numéro 1 : 80% des attaques contre les S.I. proviennent de l’intérieur. Quelle est la provenance de ce chiffre ? s’interroge Richard Bejtlich. La réponse, nous apprend le Docteur Eugene Schultz, grand pourfendeur d’idées reçues, trouve son origine dans une étude statistique effectuée par le FBI il y a plus de 17 ans. Bien avant l’ère des Botnets tentaculaires, du déploiement des réseaux DSL dans le monde entier, des attaques Web massives et de l’exploitation véritablement « commerciale » des malwares. Ce qui ne veut pas dire que l’ennemi intérieur n’existe pas. Toutes proportions gardées, il existe bel et bien mais le nombre de « traîtres à l’entreprise » sont traces par rapport aux hordes de cyber-malfrats qui errent sur la Toile.

Ces cyber-criminels sont à la délinquance en col blanc ce que l’agriculture extensive est à la production de céréales : le rendement à l’hectare ne vaut pas celui d’une petite exploitation. Si le professionnels du virus « password stealer » ou du zombificateur-polluposteur gagne de l’argent par effet de masse, l’ennemi interne frappe peu, peu souvent, mais les dégâts qu’il provoque sont sans commune mesure. Le retour sur investissement –ou le rendement per capita- est en faveur de l’ennemi intérieur, mais, en termes d’analyse de risques, la probabilité de sa présence est nettement plus faible que toutes les autres menaces « externes ».
En volume, le danger vient bien de l’extérieur, et la tendance se confirme d’années en années.
En 1999, les cyber-effractions étaient à 57% de provenance extérieure, à 51% provoquée dans le périmètre du SI.

En 2003,le CSI/FBI affine quelque peu sa terminologie et le sens de ses questions. L’enquête distingue désormais les assauts Internet, Intérieurs et par ligne téléphonique (RAS). Le résultat est sans appel : les « points d’attaque les plus fréquents » sont à 78% Internet, 30% les systèmes internes, 18% les RAS. Dans le détail, les intrusions Web externes représentaient 53 % des cas, les actions internes plafonnaient à 18%, et plus du quart des personnes interrogées déclaraient ignorer l’origine de l’attaque. Pour ce qui concerne les seuls sinistres internes, 80% ont été qualifiés de « attaque ou mauvaise utilisation » -catégorie très générique- mais seulement 36% de cette proportion était clairement qualifiée de véritable pénétration.

Sur le plan financier, là encore, les vols d’informations propriétaires ont été estimés (sur un échantillonnage de personnes majoritairement nord-américaines) à près de 70 millions de dollars, montant à comparer aux 2,8 M$ imputables aux « pénétrations dans les systèmes » et surtout aux quelques 406 000 dollars –seulement- dus aux « accès non autorisés effectués par des personnes appartenant aux services ».

Bejtlich, un vieux routier de la sécurité des SI de l’Administration Fédérale, consultant travaillant très souvent pour le compte de l’armée US, n’est pas réputé pour tenir des propos « politiquement corrects ». Ce billet, jetant ouvertement la mode des DLP aux orties, milite en faveur d’une politique de sécurité intelligente et réfléchie. Les « passades » de l’industrie pour le couple A.V./Firewall, puis en faveur des IPS et successivement des DLP, des UTM et autres remèdes miracles à trois lettres ne sont que d’incessantes tentatives d’oublier le problème plus général qu’est l’analyse de risques (la vraie) et la compréhension du système d’informations et de son périmètre. Crier « au loup » ou « à l’outil universel » cache trop souvent une vision parcellaire, incomplète du problème.


CAO : Cambriolage Assisté par Ordinateur

PDP, sur le blog GnuCitizen, signale à l’attention de ses lecteurs une application pour iPhone développée par une agence immobilière Américaine. D’un revers du pouce, le promeneur peut, en fonction de ses coordonnées GPS (le récepteur est intégré au terminal) découvrir quelles sont les maisons à vendre, admirer quelques photos d’intérieur, récupérer le numéro de téléphone du vendeur etc. Pour un monte-en-l’air, cela se traduit de la manière suivante : localisation des appartements potentiellement en vente, aperçu du plan de la maison et de son voisinage, possibilité de vérifier si une personne est ou non présente dans l’instant, estimation de la « richesse » potentielle du propriétaire…

Certes, rétorque l’un des responsables de l’agence en question, toutes ces informations sont publiques et ne diffèrent en rien de ce qui est généralement fourni par tous les « real estates » de New York à San Francisco. Ce que cette personne n’admet pas, c’est que la « Webdeuzérohisation » de cette application offre une instantanéité que n’avait pas la bonne vieille méthode de la consultation par fiches cartonnées ou par ordinateur situé dans les agences. Tout comme le fichier Edvige n’était jamais que la transcription informatique d’un vieux fichier des Renseignements Généraux, son informatisation aurait pu le transformer en un formidable outil de recoupage et de concaténation d’informations que n’aurait jamais pu offrir l’antique système « aiguilles à tricoter ». Si un service immobilier offre à tout un chacun –personne honnête et malandrin- une base de données relativement indiscrète sur les habitations avoisinantes, il devrait en toute logique assurer un service de protection des biens en question capable d’intervention avec une rapidité équivalente à celle d’un éventuel cambrioleur. L’on comprend que le coût de la sécurité dépasserait alors très largement celui du risque encouru… tant que le procédé ne s’est pas généralisé et que les baluchonneurs ne se sont pas mis au goût du jour. Encore faudrait-il aussi que les statistiques liées à cette forme de « petite délinquance » soient capables de faire ressortir les méthodes utilisées et ainsi signaler les applications « à risque ». Mais çà, c’est un autre histoire…


WiFi : 57% des routeurs sont ouverts dans la « City » ou à Wall Street

Sacrément provocatrice, l’étude d’Airtight Network. L’entreprise (spécialisée dans la sécurité des infrastructures sans fil) s’est conduite à un petit jeu de wardriving dans différentes villes aux environs des grandes « places financières ». Ont ainsi été espionnés l’espace WiFi des quartiers des affaires de New York, Chicago, Boston, Wilmington,DE, Philadelphia, San Francisco et Londres. Le résultat est sans trop de surprise. Après 5 minutes de balayage, 3632 points d’accès et 547 clients ont été détectés. 57 % des réseaux étaient soit ouverts, soit protégés par une clef WEP, relativement facile à casser. Sur ces A.P. vulnérables, 39% appartenaient à des entreprises, 61 % dépendaient des secteurs Soho ou familial, 27 % des routeurs –hors hot-spots et clients- fonctionnaient avec un SSID masqué (ndlr : ce qui ne sert strictement à rien, sinon à donner un sentiment de fausse sécurité). A ces chiffres, l’on doit ajouter 13 % de terminaux mobiles WiFi paramétrés en mode ad-hoc –le smartphone est une bien belle invention-.

Si l’on excepte quelques grands hack historiques, telle l’affaire TJX, il est rarissime que les points d’accès WiFi fassent l’objet d’une attaque en règle d’envergure. Compte-tenu de leur relative localisation géographique, ils sont en revanche plus visés par des attaques ciblées, réduites dans le temps et dans l’espace, généralement insoupçonnées des administrateurs de réseaux eux-même. Ce qui rend toute statistique de sinistralité quasiment impossible à dresser.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)