You are on page 1of 9

Une bonne résolution pour 2013, faire le point sur sa sécurité.

Introduction Une lecture des derniers rapports sur la sécurité de fin 2012 nous révèle une situation telle que l’on pouvait se l’imaginer, mais, en un peu plus sombre… Ce document n’a pas pour vocation de redistribuer des données que l’on peut trouver dans d’excellents rapports qui sont régulièrement publiés. Il tend juste, en filigrame, à vous aider à réaliser dans quel contexte et quel nouvel environnement se situe votre entreprise, vos employés et vous-même. Ce contexte est celui de notre ère, l’ère de l’information. Une information qui s’échange, se déplace, se délocalise, se perd, se vole, se vend et qui devrait être protégée, dupliquée, maîtrisée. Pour les décisionnaires qui ont peu de temps, je débuterais par une conclusion. La sécurité des données doit être vue telle qu’elle est, à savoir un enjeu nécessaire et primordial qui ne peut plus être envisagé comme par le passé ! La sécurisation doit être multi-niveaux, évolutive et robuste. Pensée dans un contexte d’urbanisation menée selon une approche centrée sur les processus plus que sur le projet. Il est plus que jamais nécessaire d’avoir une vision globale de l’engagement informatique et donc de la sécurisation de ce dernier. L’environnement Les différentes menaces apparaissent au rythme effréné de plus de 125'000 par jour et un téléchargement sur 14 est porteur d’un malware, selon une étude menée par Kaspersky Lab fin 2012 (Kaspersky Lab, 2012). Quelles sont ces menaces ? Auparavant les virus avaient commencé à faire parler d’eux. Souvent développés par des Hacker, terme désignant alors des développeurs surdoués ils étaient faits par « jeu », le virus qui arrivait à faire le plus parler de lui rapportait à son auteur gloire et prestige. Certains de ces programmes détruisaient les données ou des éléments la machine dans de plus rares cas. Certes désagréable mais, moins prétéritant que les nouvelles menaces qui ne sont plus faites par jeu, mais dans le but de produire et soutirer de l’argent. De l’ère des « cyber-taquins » on est passé à l’air des « cyber-criminels ». Les virus ont été suivis par les vers-informatiques, les troyen, les keyloggers, les adwares, les spywares, etc. Initialement ces programmes malveillants que l’on peut tous regrouper sous l’appellation « malware » n’étaient pas utilisés comme c’est le cas actuellement dans le but de faire un gain déshonnête. Ceci a bien changé et le fait d’être infecté par un malware aujourd’hui peu potentiellement être la cause de bien des déboires et de pertes financières rapides et lourdes ! Ce nouveau positionnement de l’ennemi invisible est facilité par une dépendance toujours plus accrue à l’informatique qui est devenue omniprésente notamment dans les processus d’achat et de transaction bancaire. Que cela soit au niveau des personnes, des entreprises ou des états. Certaines personnes et, plus inquiétant, certains organismes ont bien compris dans leur esprit dénué d’éthique et de tout semblant de moralité, quels gain pouvaient être faits en ce nouveau terreau. L’utilisation de l’informatique et la relation hommes données change radicalement et offre de nouvelles failles qui rendent le travail de protection ardu notamment du fait du développement de la philosophie BYOD (Bring your own device). Cette nette tendance amène bien des aspects positifs tant pour l’employé que pour l’employeur, par contre elle est également vectrice de failles et de difficultés pour la mise en place d’une politique sécuritaire maîtrisée.

Page 1 sur 9
sporchet@naver.com

Une bonne résolution pour 2013, faire le point sur sa sécurité.

Changement d’habitude de consommation La vulgarisation de l’outil informatique rend de plus en plus ténue la frontière entre utilisation professionnelle et utilisation personnelle. Ce consumérisme amène plusieurs nouveaux défis en termes de sécurisation. En effet le temps des parcs homogènes Windows est révolu. Les smartphones et les tablettes sont des nœuds informatiques dotés de plusieurs systèmes d’exploitations se partageant le marché de manière moins tranchée que ce fût le cas durant des années avec la large prédominance de Microsoft dans le monde des microordinateurs. Le « vecteur Smartphone » Relativement à ce changement d’habitude d’utilisation de la technologie, prenons l’exemple du smartphone dont l’utilisation est en pleine croissance (+45% en 2012). Quelques chiffres tirés d’une étude comparis.ch nous font réaliser que : 48% des Suisses possèdent un smartphone et 60% de ces propriétaires l’on acquit ces deux dernières années (23% en 2010 et 37% en 2012) (Comparis.ch SA, 2012). La répartition des systèmes équipant ces appareils est la suivante selon une étude de l’institut IDC :

Comparé au 1er trimestre 2011 on peut constater que des changements non négligeables se sont produits. Android prédomine plus largement le marché (75% avec une progression de 91.5% en termes d’unités vendues), mais Windows effectue une très forte progression en termes d’unités vendues, + 140%.

Page 2 sur 9

sporchet@naver.com

Une bonne résolution pour 2013, faire le point sur sa sécurité.

La mauvaise nouvelle, est que, selon AS Solutions, la plateforme la plus vulnérable est justement Android

Ces chiffres sont représentatifs de la situation mondiale. Il est intéressant d’observer, selon l’étude comparis.ch (Comparis.ch SA, 2012) que ces tendances ne sont de loin pas suivies au niveau helvétique.

Ces données révèlent un hétéroclisme plus marqué dans ce segment que dans celui des microordinateurs de bureau, ou les systèmes non Microsoft représentent moins de 1% des systèmes installés. (Opswat , 2012)

Page 3 sur 9

Une bonne résolution pour 2013, faire le point sur sa sécurité.

Deux choses à avoir à l’esprit lorsqu’on parle de la démocratisation des smartphones sont les suivantes. Culturellement la majeure partie des utilisateurs de smartphones l’associe plus à un téléphone qu’à un ordinateur bien que techniquement ce type d’appareil soit un ordinateur à part entière. Cet état de fait amène que les possesseurs ne sont pas, de manière naturelle, enclin à penser à installer un antivirus (encore moins un système de protection des données) sur ce dernier.

De plus, si nous prenons la répartition des parts de marché pour la Suisse nous voyons que plus de la moitié de ces équipements mobiles sont des Iphones pourvus d’IOS pour lequel, actuellement, aucun antivirus n’est existant ! Un second problème propre aux smartphones et de nouveau lié plus à l’utilisateur qu’a l’appareil. Ce dernier va rechercher une application permettant de répondre à un besoin et le choix se portera de préférence sur une application gratuite. Hors, fin 2011 une étude menée par un institut Allemand indépendant démontrait que les antivirus gratuits mis à disposition pour Android étaient tous largement insuffisants. Le plus utilisé de ces produits a même atteint un taux de détection de 0% ! Le meilleur score pour les détections manuelles et en cours d’installation d’apps a été obtenu par le même programme (32% (faible) pour le scan manuel et 80% (acceptable) pour le scan en cours d’installation). Ce qui est inquiétant c’est d’observer que la seconde place est obtenue par un taux de détection de 6% pour le scan manuel et de 10% pour le scan en cours d’installation ! Voici le résultat de cette étude :

(Hendrik Pilz, 2011) Nous relèverons que le produit phare installé entre un million de fois et cinq millions de fois est d’une parfaite insuffisance puisqu’il n’a détecté aucune de 182 menaces engagées dans le test ! L’étude mentionne Kaspersky mobile, engagé avec un autre logiciel payant (F-secure) à titre comparatif, en première position pour l’efficience. Actuellement la situation s’est améliorée et l’on trouve plusieurs produits gratuits valables. On ne peut que s’en réjouir. Sur sept acteurs important des produits de sécurité (Fortinet, Kaspersky, McAfee, Sophos, Symantec, Trend Micro, Websense), cinq prédisent une forte recrudescence des menaces sur les plateformes mobiles (Android serait spécialement exposé). (Passeri, 2012) L’étude dont le résumé du résultat est présenté dans le tableau ci-dessus portait uniquement sur Android. Toutefois, l’APP strore d’Apple a également été vecteur de malware. Toutefois, il est important de porter ses regards sur Android, système pour lequel, en 2012, 98.96% des mobiles malware ont été conçus.

Page 4 sur 9

sporchet@naver.com

Une bonne résolution pour 2013, faire le point sur sa sécurité.

Au niveau des éditeurs, nous observons une volonté de convergence de leurs systèmes d’ordinateurs de bureau et de smartphone (et tablettes) visant à n’offrir qu’une interface dotée de variantes adaptées au périphérique sur lequel elle siège. Cette orientation tend à démontrer la prédictibilité d’une volonté de mettre l’homme en relation avec un environnement informatisé global et connecté. Ceci amène une cartographie de plus en plus floue entre les zones loisirs, nécessité privées ou professionnelles. Android est à percevoir de manière un peu différente du fait que sa présence n’est qu’anecdotique dans la micro-informatique des postes de travail, mais sa part de marché importante dans le monde des smartphones tend à augmenter ainsi que ses possibilités d’interaction avec les infrastructures fixes. Par contre, ce qui n’est de loin pas anecdotique c’est la mise en contact de ce système avec celui de l’entreprise, 33% des entreprises autorisent les smartphones à se connecter à leurs ressources et 36% aspirent à favoriser ce type d’utilisation (Kaspersky Lab, 2012) !

L’utilisateur actuel est un consommateur internet qui a accès depuis son périphérique mobile ou fixe à des prestations de cloud computing (gmail, facebook, dropbox, etc.). Il n’est pas rare qu’il ait l’accès à ces mêmes services depuis son système professionnel. Ainsi les données, bonnes ou mauvaises, circulent d’un périphérique privé à un périphérique professionnel et d’une sphère privée à une sphère professionnelle sans que cela soit forcément réalisé par leur propriétaire ou les entreprise qui emploient ces derniers. Actuellement la majorité des pertes de données est liée à un accès internet. Cet accès internet étant de plus en plus généralisé et étant le plus grand vecteur de menaces il faut être conscient qu’une protection axée sur les périphériques seuls ne peut plus suffire. L’ère du multiniveau et de la sécurité axée sur l’utilisateur est la meilleure réponse qui puisse être donnée face à l’augmentation exponentielle des menaces (la barre des 50 millions de menaces uniques a été dépassée en Janvier 2011, 9 mois plus tard plus de 67 millions de menaces uniques, soit une augmentation de 34 % en neuf mois (Kaspersky Lab, 2012)) Idées reçues Si le début de ce constat met en avant l’utilisation de l’informatique mobile et rend conscient des nouveaux challenges que cela va imposer en termes de sécurité IT, il ne faut pas penser que l’on reste à l’abri dans 55% des cas de figure du fait qu’IOS est un système Mac et que Mac est un système quasiment sans risque au niveau des malwares. On serait en droit de le penser si l’on ne savait pas que les menaces pour MAC ont augmenté de 30% en 2012 par rapport à 2011 et de 600% par rapport à 2010. Il faut également savoir qu’un virus Windows peut siéger et affecter son système cible depuis une plateforme Apple (ou autre). En effet, le système Windows sur une autre partition ou virtualisé peut faire les frais d’une menace non détectée sur une plateforme Apple. Ce qui est inquiétant à ce titre c’est de savoir que les utilisateurs Mac ne sont plus du tout à l’abri et qu’ils ont durant longtemps pris l’habitude de ne pas compter avec les menaces. Durant des années la communauté des « macistes » a pu se passer d’un antivirus sans trop s’exposer, toutefois ce temps est révolu. Les laboratoires Sophos ont recensés en une seule semaine (du 1 er au 6 août 2012) plus de 4'900 malwares sur des ordinateurs MAC pourvus de Mac OS ! (Sophos Ltd, 2012) Parmi ces malware « Morcut/Crisis » qui donne accès a presque toutes les données du MAC du positionnement de la souris à la Webcam et au micro en passant par ; le presse papier, les contacts, la messagerie, le calendrier, les URL, les captures d’écran et les méta données du système de fichiers, etc. Cette tendance n’est pas à la baisse et les éditeurs de produits de sécurité constatent une augmentation de la finesse d’exécution des codes malveillant qui en termes de type d’attaque restent

Page 5 sur 9

Une bonne résolution pour 2013, faire le point sur sa sécurité.

inspirés de ce qui a été préalablement fait dans le monde Windows. Si Mac est issu d’une base sécuritaire robuste (BSD), il n’en est pas de même de son interface utilisateur. De plus Apple semble plus lent à répondre en termes de correction de failles (ceci a amené 600'000 utilisateurs, rapidement infectés, à faire les frais d’une correction tardive de Java. Java qui d’ailleurs, à l’instar du plugin flash demeure un vecteur important de problématique. Il est recommandé de supprimer Java des navigateurs ou alors de n’utiliser qu’un navigateur dédié à cet usage pour la consultation de sites exploitant cette technologie Quant à Flash il est heureusement en voie d’obsolescence grâce aux navigateurs prenant en charge HTML 5. Ce ne sont toutefois pas les seules applications présentant des vulnérabilités souvent exploitées que l’on installe et utilise sur son système, il y a également : Adobe Acrobat et Reader, Internet Explorer et Apple QuickTime. Voici une petite statistique synoptique présentant les principaux composants vulnérables qui ont été attaqués en 2012 par des exploits. Notons que les attaques sur Java ciblaient tant Mac que PC.

(Maslennikov & Namestnikov, 2012) Les nouvelles tendances Les nouvelles tendances en terme d’insécurité amenant à une prise de conscience de l’urgence et de la réalité de la situation sont les APT (Advanced Persistent Threat), menaces avancées persistantes, plus ciblées et difficilement décelables anticipables et éliminable. Ces vols de données de nature confidentielle, financière, commerciales ou relative à la propriété intellectuelle, touche plus particulièrement les gouvernements et les grandes entreprises, mais de plus en plus de PME qui ne s’estimaient pas menacées en ont fait les frais et deviennent une cible de plus en plus exposée. Les kits d’exploitation de failles utilisables par des quasis néophytes ont également le vent en poupe est sont à l’origine, via des attaques automatisées, de 85 % des infections virales. Chiffre communiqué par les laboratoires Kaspersky. Les réseaux sociaux, facebook en tête sont également vecteurs de programmes malveillants et cause de perte de données. Toutefois, à cet égard, une menace tout aussi réelle pour les entreprises et la perte de productivité issue de leurs utilisations (82% des personnes connectées sont utilisateur d’au moins un réseau social). On observe une recrudescence du kidnapping de données via « ransomware ». Les données des victimes se font voler ou, plus souvent, sont cryptées sur place les rendant inutilisables par leur propriétaire légitime. Une rançon est demandée en échange de ces dernières ou d’une clé

Page 6 sur 9

sporchet@naver.com

Une bonne résolution pour 2013, faire le point sur sa sécurité.

permettant leur décryptage. A ce titre une vulnérabilité accrue des PME, une fois de plus. Ces dernières ont souvent des carences en termes de sauvegarde régulière. Cette situation augmente la valeur des données et la nécessité de payer une rançon en cas de kidnapping. Un triste exemple le 10 décembre de cette année lorsqu’un centre médical de petite taille c’est fait crypter l’ensemble de la base de données de ses patients. La difficulté pour cette petite entreprise a été de trouver les fonds pour être en mesure de payer la rançon afin de pouvoir décrypter ses propres données et de pouvoir ainsi accéder à nouveau aux dossiers de leurs patients. Ce type de problématique va de pair avec l’augmentation de la cybercriminalité organisée (notamment en provenance de Russie pour les ransomwares). On peut s’adresser à des organismes qui pour quelques milliers d’euros vont mettre à mal l’infrastructure d’un concurrent, voler des données pour nous les transmettre, etc. Tel que mentionné en début de ce document, une nouvelle tendance étant l’informatique mobile, un nouveau risque qui est lié à ce mode de consommation et la perte de données suite à la perte ou au vol d’un périphérique mobile par nature et inconscience, moins protégé qu’un poste fixe, et pourtant plus facile à perdre ou à voler, avec tout son contenu. La perte est certes un aspect ennuyeux, mais selon la nature des données, ce qui est le plus ennuyeux, ce sont les mains entre lesquels elles peuvent tomber. Votre smartphone est-il pourvu d’un programme permettant son effacement à distance en cas de perte ou de vol ?

Conclusion Posez-vous les questions suivantes : De quelle manière sont sécurisés mes terminaux, mes périphériques mobiles ? Est-ce que le cryptage des communications, des données, partitions ou des disques sont utilisés ? Quelle politique BOYD est appliquée ? Quelle infrastructure de mise à jour des applications et des systèmes d’exploitation est en place ? Quelle politique de complexité, de changement et de non-redondance des mots de passes est appliquée ? Quelle politique d’attribution des droits d’accès est appliquée ? Quelle politique d’audit des données sensibles est appliquée ? Quelle niveau de protection sur mes serveurs, ma messagerie, mes passerelles, mon infrastructure réseau ? Quelle politique face à l’utilisation de supports externes (clé USB, CD, DVD, diques externes, etc.) ? Quelle politique de sauvegarde ? Quelle politique de monitoring de l’infrastructure ? Quelles versions de SMNP sont actives sur mes périphériques réseaux ? Quelle politique de surveillance de l’intégrité du code des pages de mon site web ? Quelle politique de gestion des accès à internet ? Quels niveaux de formation ont mes employés relativement aux bonnes pratiques comportementales faces aux menaces ? Comment se situe ma suite de protection antivirale et sécuritaire par rapport à ses concurrentes ?

Page 7 sur 9

Une bonne résolution pour 2013, faire le point sur sa sécurité.

Si vous n’êtes pas en mesure de répondre à l’une de ces questions ou que vous n’êtes pas au clair visà-vis de votre sécurité, adressez-vous à des personnes en mesure de faire le bilan de votre infrastructure et de vous proposer des solutions adaptées à vos besoins et aux menaces actuelles. Menaces actuelles pour lesquels les principaux anti-virus du marché ont un taux de détection d’un peu moins de 5% !!! Ce test a été effectué avec plus de 40 produits antivirus (dont les top leader), sur un échantillons de 82 nouvelles menaces récemment développées … Bonne année !!!

Sylvain Porchet sporchet@naver.com

Page 8 sur 9

sporchet@naver.com

Une bonne résolution pour 2013, faire le point sur sa sécurité.

Bibliographie
AS Solutions. (2012, 07). La sécurité sous smartphones et tablettes Android. Consulté le 12 23, 2012, sur http://www.antivirus-smartphone.com/?guide=la-securite-sous-smartphones-et-tablettes-android Comparis.ch SA. (2012). Comparis.ch sur l'affluence des smartphones. Encode S.A. (2012). ENCODE Extrusion Testing Facts & Statistics. Athens: Encode S.A. Hendrik Pilz, S. S. (2011). Are free Android virus scanners any good? Magdeburg: AV Test, The free independent IT-Security Institute. Hicks, S. (2012, 12 11). Russian hackers hold Gold Coast doctors to ransom. Consulté le 12 27, 2012, sur ABC News: http://www.abc.net.au/news/2012-12-10/hackers-target-gold-coast-medical-centre/4418676 Kaspersky Lab. (2012). l'Enquête 2012 sur les risques informatiques au niveau mondial. Kaspersky Lab. (2012). Menaces de type APT : bien plus sérieuses que les programmes malveillants ordinaires. Kaspersky Lab. Kaspersky Lab. (2012). Sécurité informatique. Maîtrisez-vous la situation ? Kaspersky Lab. Maslennikov, D., & Namestnikov, Y. (2012). Kaspersky Security Bulletin 2012. The overall statistics for 2012. Moscou: Kaspersky Lab. McDonald, G., & O’Gorman, G. (2012). Ransomware: A Growing Menace . Mountain View: Symantec Corporation. Opswat . (2012, 11). Antivirus Market Analysis: December 2012. San Francisco: Opswat . Passeri, P. (2012, 12 26). Browsing Security Predictions for 2013. Consulté le 12 27, 2012, sur hackmageddon: http://hackmageddon.com/2012/12/26/browsing-security-predictions-for-2013/ PERLROTH, N. (2012). Outmaneuvered at Their Own Game, Antivirus Makers Struggle to Adapt. New York Times. Sophos Ltd. (2012). Sophos Security Threat Report 2013.

Page 9 sur 9