Sécurité : la sophistication supposée des attaques masque en fait un manque d’hygiène IT
N’en déplaise à beaucoup, pour le responsable adjoint aux systèmes de sécurité de la NSA, les incidents de sécurité qui font les gros titres ne trouvent pas leur origine dans l’exploitation de vulnérabilités inédites.
La sophistication, si fréquemment invoquée en matière d’attaques informatique, semble avoir décidemment bon dos, encore et toujours. C’est la conclusion à laquelle on est tenté d’aboutir à la suite des propos de Curtis Dukes, responsable adjoint aux systèmes de sécurité de la NSA. A l’occasion du Federal Cybersecurity Summit de HPE, il a ainsi souligné, selon nos confrères de FedScoop, que l’agence américaine du renseignement a été impliquée dans les enquêtes liées à « tous les incidents majeurs dont vous avez entendu parler dans le Washington Post et le New York Times ». Las, « au cours des 24 derniers mois, aucune vulnérabilité inédite (zero-day) n’a été utilisée » dans le cadre de ces intrusions retentissantes. Alors pour lui, « le problème fondamental que nous avons rencontré pour chacun de ces incidents était une mauvaise hygiène cyber », en particulier en ce qui concerne l’administration de systèmes et la gestion de correctifs.
Ces propos ne manqueront pas de résonner tout particulièrement aux oreilles de ceux qui ont assisté au discours de Patrick Pailloux, alors de l’Agence française pour la sécurité des systèmes d’information (Anssi), en clôture de l’édition 2011 des Assises de la Sécurité. Il dénonçait alors une pratique de la sécurité en mode « cache-sexe » et appelait à un retour aux fondamentaux, pointant notamment des administrateurs qui « n’appliquent pas à eux-mêmes des règles d’hygiène élémentaire ». Et d’égrainer une série d’erreurs ou de négligences selon lui largement répandues. Tout y passait, ou presque, sans oublier la gestion des mises à jour et correctifs.
Pour le moins têtus, les faits semblent bien donner raison, tant à Curtis Dukes qu’à Patrick Pailloux. Ainsi, dans l’édition 2016 de son Cyber Risk Report, HPE souligne que « l’industrie n’a rien appris en matière de gestion des correctifs en 2015 » : « le bug le plus exploité en 2014 est encore le plus exploité en 2015 – et il est désormais vieux de plus de cinq ans. Si les éditeurs continuent de fournir des correctifs de sécurité, cela ne sert pas à grand-chose s’ils ne sont pas installés par les utilisateurs ». Déjà, un an plus tôt, le groupe relevait que les menaces bien connues faisaient encore bien trop de dégâts.
Mais à qui jeter la pierre ? A l’automne dernier, une étude NopSec sur la gestion des vulnérabilités faisait apparaître des RSSI noyés sous l’information et les faux positifs, et minés par le manque de ressources. Plus récemment, Juan Pablo Perez Etchegoyen, directeur technique d’Onapsis, expliquait que « chez chacun de nos nouveaux clients, nous découvrons des systèmes SAP qui ne sont pas correctement administrés et tendent à être exposés, du fait de vulnérabilités non corrigées, ou encore de défauts de configuration ».
Certes, ces systèmes métiers s’avèrent particulièrement complexes et « les sécuriser est vraiment difficile ». Mais le cas de certains composants du système d’information peut être plus simple à gérer. Et là, HPE renvoie la balle aux éditeurs : ceux-ci « doivent regagner la confiance des utilisateurs – leurs clients directs – pour aider à rétablir la foi dans les mises à jour automatiques ». Une tâche que la mobilité aidera peut-être à accomplir.