Deloitte, Equifax : des populations oubliées de la sensibilisation à la sécurité ?
Les deux entreprises, victimes chacune d’une importante brèche de sécurité, apparaissent exemplaires d’une approche parfois trop restrictive de la notion d’utilisateur.
Coup sur coup, des attaques sérieuses – et aux conséquences dont l’ampleur reste à déterminer – ont été révélées, faisant pour victimes Equifax et Deloitte. Le patron du premier a été remercié, prenant la suite des RSSI et DSI. Les politiques de sécurité des deux victimes n’ont pas manqué d’être très vite questionnées, et il apparaît difficile de ne pas le trouver justifié. Certains ne manquent pas de le souligner avec une pointe d’ironie.
Guys, it could happen to anyone.#WeAreAllDeloitte
— Shack (@daveshackleford) September 27, 2017
Wait, what the fuck am I saying. I use multifactor auth. Never mind.
Mais au-delà des politiques de sécurité, il y a l’hygiène de sécurité individuelle des employés de ces organisations. Comme dans toutes. Et là, certains éléments apparaissent tout simplement ahurissants.
Des chercheurs ont ainsi trouvé publiquement accessibles sur GitHub une liste de ce qui apparaît être des identifiants permettant d’accéder à des systèmes de Deloitte : serveur VPN, environnement de développement, etc.
There’s Deloitte credentials on Github 🤷🏽♂️ cc @DeloitteUS https://t.co/zijpHYIPIb
— Kevin Beaumont 🙃 (@GossiTheDog) September 26, 2017
Le tout semble l’œuvre d’un développeur négligeant. Si les identifiants n’ont pas été testés par les chercheurs, pour des raisons évidentes, les URL apparaissent quant à elles bien authentiques. Le dépôt GitHub concerné n’est à cette heure plus accessible.
Mais Deloitte n’est pas le seul concerné ! Selon Kevin Beaumont, cela vaut également pour Equifax. D’après lui, on trouve ainsi sur GitHub des identifiants pour des annuaires de l’entreprise, serveur Exchange, etc. Là encore, cette négligence semble le fait d’un développeur.
Equifax are also all over github. Everything from AD passwords to their internal PKI passwords to their cloud authentication.
— Kevin Beaumont 🙃 (@GossiTheDog) September 26, 2017
En fait, cette situation renvoie à la question de la menace interne. En septembre 2015, Intel Sécurity (McAfee) estimait que des acteurs internes seraient impliqués dans 43 % des pertes de données. Une menace interne dont IBM estimait plus tôt que 55 % des attaques survenues en 2014 avaient été conduites par des personnes ayant accès aux systèmes internes des entreprises.
Une étude conduite à l’été 2016 par Atomik Research pour Forcepoint, auprès de 4000 salariés en Europe, apportait un éclairage complémentaire : plus d’un tiers des sondés indiquait avoir été « précédemment impliqué » dans une compromission de données. Et pour Forcepoint, ce chiffre élevé s’expliquait en partie par un manque de conscience de la menace : 42 % des sondés estiment que leur entreprise est à l’abris de la menace interne ; 30 % indiquent ne pas être sûrs.
Les professionnels de la sécurité semblent avoir bien conscience de cette menace. Selon une récente étude de l’institut SANS, 76 % d’entre eux estiment qu’une brèche impliquant des employés ou des prestataires de confiance, disposant d’un accès interne aux données sensibles, représente le risque de dommage le plus important.
Mais jusqu’où s’étend la conscience dans l’entreprise ? La sensibilisation à la cybersécurité fait l’objet d’efforts de plus en plus importants, notamment en France. Mais toutes les populations concernées sont-elles correctement traitées ? De quels utilisateurs parle-t-on ? Pense-t-on suffisamment aux informaticiens chargés de la production, du développement ? Ceux des sous-traitants ? Chez Equifax et Deloitte, la réponse pourrait bien être négative.
Mais il y a là une vraie question, qui s’applique bien au-delà de ces deux malheureux exemples : celle de ces utilisateurs qui détiennent les clés du royaume, ceux des services informatiques. Certes, on peut penser bastions, et autres solutions de gestion des comptes à privilèges (PAM). Mais est-ce bien suffisant ? Cette population d’informaticiens – historiquement pas toujours perçue à sa vraie valeur – est-elle appréhendée avec le niveau de criticité approprié ? Personnellement, je tends à en douter.