Gérôme Billois, Solucom : "inadaptation des politiques de sécurité aux attaques ciblées"
Après le "Bercy-gate", qui a vu le ministère des Finances être victime d'un détournement d'informations, retour sur les enseignements de ce piratage avec Gérôme Billois, responsable de département sécurité du cabinet Solucom. Pour qui cette énième attaque ciblée ne fait que confirmer les limites des politiques de sécurité mises en œuvre depuis des années par les organisations.
LeMagIT : La forme prise par cette attaque, ciblant l'administration française et visant, selon les déclarations des officiels, à lui dérober des informations sur l'organisation du G20, vous a-t-elle surprise ?
Gérôme Billois : Non, il s'agit d'une attaque assez classique dans son approche et dont des précédents étaient connus. Elle repose sur l'envoi de mails ciblant des personnes données - personnes susceptibles d'avoir accès aux informations recherchées par les pirates - et sur l'emploi de codes malicieux non encore détectés par les outils de sécurité classiques comme les antivirus. On sait que les pirates ont ainsi exploité une faille PDF pour introduire un Troyen au sein d'un certain nombre d'ordinateurs à Bercy. Au-delà de ces informations basiques, les mécanismes de l'attaque sont pour l'instant restés confidentiels. De même, les canaux par lesquels les pirates ont fait sortir les informations de Bercy n'ont pas été dévoilés. On peut cependant supposer que les e-mails vérolés ont ciblé un grand nombre de personnes et que l'attaque a fonctionné à certains endroits et pas dans d'autres. De même, le canal de sortie le plus simple reste le HTTP, qui n'est pas bloqué de manière générale sur les firewalls. Il suffit par exemple de diriger les flux de données vers un site non référencé par les outils de filtrage d’URL. Bien que classiques, ces attaques sont souvent très efficaces, comme l'ont montré d'autres affaires récentes (attaque Aurora ciblant Google et une vingtaine de multinationales américaines, opération Night Dragon ciblant des géants de l'énergie comme BP, Exxon ou Shell). Depuis 18 mois, les attaques de ce type tendent à se multiplier et à être rendues publiques.
LeMagIT : Quels enseignements peut-on tirer de la réussite répétée de ces attaques ?
G.B. : Ces attaques montrent clairement les limites de la sécurité telle qu'on la conçoit depuis des années, autrement dit une approche consistant à mettre en place un socle technologique pour lutter contre les attaques à grande échelle, de type virale (Blaster, Sasser…). Ce socle est clairement insuffisant pour lutter contre des attaques ciblées. Face à ces dernières, il faut centrer la sécurité sur les données, en commençant par définir celles qui sont le plus sensibles pour l'organisation puis en leur appliquant des mesures complémentaires à celles de la défense périmétrique.
Les pistes existent, comme les mécanismes de vérification des mails des collaborateurs, comme la création de services collaboratifs très fermés sur lesquels on peut stocker des documents sensibles, afin d'éviter de les envoyer par la messagerie classique. D'autres solutions technologiques, comme l'authentification forte, la biométrie ou les DRM sur les données, apportent également certaines formes de réponse.
LeMagIT : Ces pistes ne sont pas radicalement nouvelles et pourtant peu déployées aujourd'hui...
G.B. : Car ces mesures sont complexes à mettre en œuvre. D'autre part, passée l'émotion suscitée par telle ou telle affaire, l'attention des dirigeants est difficile à obtenir sur ces sujets. Mais il est temps pour les RSSI de remettre les chantiers de protection des données à l'ordre du jour, en commençant par définir le périmètre sur lequel appliquer les mesures complémentaires qui s'imposent. Et en ne négligeant pas la veille sur les incidents : le suivi des événements anormaux laisse en effet souvent à désirer, or, dans une attaque ciblée comme celle qu'a subie Bercy, repérer des messages incongrus échangés entre utilisateurs ou des flux techniques inattendus peut permettre de détecter l'intrusion rapidement. Ces flux auraient aussi pu être probablement détectés par des outils de DLP (Data Loss Prevention, ou prévention de fuite de données), même si, là encore, les pirates ont des moyens de contourner ces protections. Par exemple utiliser des flux HTTPS peut en effet rendre les solutions de DLP réseaux aveugles. L'arsenal pour lutter contre cette forme d'attaque n'est pas sans défaut. Raison de plus pour que RSSI, éditeurs et cabinets de conseil retournent à leur planche à dessin !
En complément :
- Opinion : piratage à Bercy, incident majeur ou effet(s) d’aubaine ?
- Revue de presse - Piratage à Bercy : Tempête dans un verre d’eau et opération de communication
- Piratage de Bercy : tous les regards se tournent déjà vers la Chine