Accueil Expert 2014, une année noire pour la sécurité informatique. Et 2015 ?

2014, une année noire pour la sécurité informatique. Et 2015 ?

Voici une tribune rédigée par Frédéric Tiratay, consultant Sécurité Réseaux chez Nomios, société spécialisée dans la mise en place de solutions de sécurité et d’optimisation des performances des systèmes d’information. Elle porte sur les failles critiques qui ont fait de 2014 une année noire en matière de sécurité, et donne des pistes pour se protéger.

Depuis l’émergence de l’informatique, des millions de protocoles, de logiciels, d’interfaces ont vu le jour permettant de traiter différents besoins dans le domaine du numérique. Mais comme tous systèmes quels qu’ils soient, ils ont des défauts. Et plus les années passent, plus ces défauts sont visibles car la communication est de plus en plus omniprésente dans notre société. Encore plus que les années précédentes, 2014 a été une année noire dans les découvertes de failles de sécurité importantes. Et pour preuve que la criticité et la communication de ces vulnérabilités deviennent de plus en plus importantes, certaines de ces failles dévoilées en 2014 se voient obtenir des noms « commerciaux » comme HEARTBLEED, POODLE ou encore SHELLSHOCK.

Quelques détails sur ces failles critiques qui ont émaillé l’année 2014

HEARTBLEED

Sûrement la faille la plus connue et la plus médiatisée en 2014 et à coup sûr la plus importante et critique de la décennie. Cette faille impacte la librairie OpenSSL et touche tous les équipements utilisant cette librairie (serveurs web, équipements réseaux etc.). Cette faille permet de copier à distance le contenu de la mémoire vive du serveur et donc la totalité des mots de passe et certificats de sécurité sans aucune trace de l’intrusion bien évidemment. 

POODLE

La seconde faille qui a fait couler beaucoup d’encre en 2014 concerne une nouvelle fois la sécurité du protocole SSL (Un problème de sécurité dans le protocole censé sécuriser et crypter les échanges, cherchez l’erreur !). Cette faille impacte directement le protocole SSL 3.0 et permet de déchiffrer les informations échangées entre le navigateur web du client et le serveur sécurisé en faisant une attaque man-in-the-middle (c’est-à-dire en se positionnant entre le client et le serveur). Le seul remède à cette vulnérabilité ? Désactiver le protocole SSL v3 côté client et serveur pour ne dialoguer qu’en TLS (SSLv2 étant aussi considéré obsolète et peu sécurisé depuis quelques années déjà). Drastique mais efficace.

« POODLE v2 »

Voilà que quelques semaines après la découverte de POODLE qui touche le protocole SSlv3, une variante apparait sur le protocole TLSv1. En effet une partie du code de TLSv1 sur certains équipements reprenant une base de la librairie SSLv3, cette version du protocole de chiffrement s’en retrouve elle aussi vulnérable. Un correctif modifiant l’implémentation du TLSv1 sur ces systèmes impactés permet de résoudre cette vulnérabilité.

SHELLSHOCK

Cette vulnérabilité ne concerne pas le protocole SSL (ouf !) mais le shell Unix bash. Ce shell est utilisé par de nombreux serveurs réseaux comme des serveurs Web (Unix ou Linux), des serveurs accessibles directement avec un accès SSH ou encore des serveurs DHCP ou de messagerie également sous Unix/Linux. L’utilisation de cette vulnérabilité permet à un attaquant d’exécuter du code par l’interprétation de commandes bash pour obtenir des accès non autorisés à un équipement du système d’information.

Et en 2015, peut-on s’attendre à une accalmie ?

Rien n’est moins sûr, preuve en est le nombre de faille critique déjà relevé sur le premier trimestre parmi lesquels nous pouvons citer notamment GHOST dont voici une explication rapide. Cette vulnérabilité impacte la librairie Linux glibc qui est notamment utilisée dans le cœur de l’Operating System Linux (quelle que soit la distribution). L’exploitation de cette faille permet d’effectuer un buffer overflow sur le système vulnérable ce qui donne la possibilité à l’attaquant d’exécuter le code qu’il souhaite sur le serveur qu’il a réussi à compromettre après avoir provoqué une « surcharge » de celui-ci.

Quel remède pour se prémunir de ses vulnérabilités qui sortent au jour le jour et qui impactent fortement votre SI ?

Vous ne maîtrisez ni le code des systèmes d’exploitation (Linux, Windows, Apple, etc.) ni le code des applications systèmes (SSL, JAVA, SSH, navigateur, etc.) que vous utilisez, il vous est donc impossible de corriger vous-même les vulnérabilités de ces systèmes divers et variés. Il vous faut donc attendre la sortie des patchs de l’éditeur pour combler ces failles. En revanche, il vous est possible de limiter les risques tout en respectant les contraintes de votre entreprise notamment en terme de patch management (souvent complexe et contraignant) et de la qualification fonctionnelle de vos applicatifs internes,

externes et métiers (exemple intranet, sites web, CRM, etc.). Pour cela, vous pouvez utiliser plusieurs dispositifs de sécurité vous permettant de sécuriser en toute transparence ces vulnérabilités lorsqu’elles sont connues et même lorsqu’elles sont inconnues.

Grâce notamment aux IDS/IPS vous allez pouvoir vous protéger contre des vulnérabilités connues exploitées par des attaques transitant par votre réseau.

Grâce aux HIPS (Host IPS), vous pouvez régler le problème du patch management et de la qualification fonctionnelle de vos applicatifs car vous venez appliquer une surcouche de protection au plus près de votre système et surtout en tenant compte des versions de celles-ci pour certains équipements de sécurité.

Et enfin avec les équipements de sécurité dit anti-APT (protection contre les menaces inconnues et avancées mais pas que) qui vont vous permettre de vous protéger contre des exploitations de vulnérabilités non encore connues et donc pour lesquelles aucun patch de l’éditeur ou aucune signature d’un équipement de sécurité tierce n’est disponible. L’utilisation de ces équipements permettra en plus de pouvoir contrer plus rapidement et plus efficacement les nouvelles menaces en générant de façon quasi automatique des signatures pour contrer les vulnérabilités découvertes.

Pas de répit mais vous pouvez limiter le risque

En conclusion, il est évident que nos systèmes informatiques ne seront jamais parfaits et que de nombreuses nouvelles failles de sécurité seront dévoilées aujourd’hui, demain, après-demain, mais vous pouvez vous équiper pour faire en sorte que votre temps d’exposition à ces vulnérabilités soient réduits au maximum. Et bien entendu continuez à mettre à jour vos systèmes dès que possible et autant de fois que possible afin de limiter au maximum les risques d’exploitation des vulnérabilités connues et ce même si vous ne vous sentez pas menacés.