Bonnes pratiques :
adoptez les bons comportementsFace aux risques actuels, voici un point pratique avec Mauro Israel, expert Cyber Sécurité chez Fidens, cabinet de conseil et d’audit, spécialiste de la sécurité des systèmes d’information. Il vous livre explications et conseils judicieux.
Avec les patches…
Parmi les fondamentaux de la cyber-sécurité, c’est le dispositif des correctifs de sécurité (patches) qui pose le plus de problèmes. Petit rappel de la problématique des patches : Lorsqu’un éditeur de logiciels publie un correctif de sécurité pour son système, par exemple Microsoft, il existe un dispositif automatique (Windows Update) qui met à jour automatiquement le poste de travail. Pour les entreprises, c’est une action plus sélective, les administrateurs décidant ou pas de « pousser » le patch suivant les contraintes techniques du site. C’est, dans ce cas, un serveur dédié de type WSUS qui assure cette distribution. Supposons que le patch ne soit pas installé. Les pirates disposent alors d’un avantage énorme: en faisant un « reverse engine » sur le binaire du correctif, ils vont obtenir le code source du patch et donc comprendre ce qui a été corrigé. Le code d’attaque qui exploite alors l’absence du patch est facile à élaborer. De plus, des sites comme Metasploit (www.metasploit.com) mettent à disposition ce type de code d’attaque très peu de temps après que le patch soit disponible.
Avec Windows XP
Ce qui est nouveau, c’est l’arrêt du support de Windows XP depuis le 8 avril 2014. Cela fait plusieurs mois que tous les ordinateurs sous Windows XP n’ont plus de patches gratuits (il existe un support payant). Or, il existe des millions de machines sous XP notamment chez les petites et très petites entreprises. Ces machines sont depuis plusieurs mois dans un état équivalent à l’absence de patches et deviennent donc des cibles naturelles des pirates. Il convient donc de migrer son parc le plus rapidement possible sous Windows 7-8 ou bien de procéder à du virtual patching. Ce concept est intégré par les fabricants d’antivirus dans leurs nouvelles versions et part de l’idée de « l’arroseur arrosé ». Comme les pirates font un code d’attaque basé sur le patch, le virtual patching consiste à faire une base de données des codes d’attaques et de les bloquer avant même qu’elles puissent s’exécuter sur la machine. Comme Metasploit recense les codes d’attaques, on peut donc en faire une base de données ! Les pirates qui utilisent ces codes d’attaques se voient repérés justement en les utilisant : c’est l’arroseur arrosé !
Avec le navigateur web
La deuxième menace qui est relativement nouvelle, part d’un autre raisonnement défensif qui est contourné par les pirates. La plupart des grandes entreprises désactivent, à juste titre, les droits d’administration des utilisateurs sur leur machines. C’est une bonne mesure défensive, car cela empêche l’exécution d’un code malicieux, même si l’utilisateur clique sur un lien ou sur un exécutable douteux. Cela nécessite d’avantage de support que pour un utilisateur administrateur local, car l’utilisateur ne peut plus installer de logiciel lui-même. La contrepartie positive est que des logiciels de piratage ne pourront pas s’installer. Sauf que des pirates ont trouvé un logiciel qui est lui-même administrateur local sur toutes les machines. Si on arrive à pirater ce logiciel ou bien des modules complémentaires qui tournent dans ce logiciel on peut pirater une machine alors même que l’utilisateur n’est pas administrateur… Ce logiciel “mystère” c’est tout simplement le navigateur web : Internet Explorer, Safari, Chrome ou Firefox… Ils sont TOUS administrateurs locaux du système. Les pirates ont donc trouvé des patches manquants dans le navigateur ou une version obsolète, ou encore plus astucieux, ont utilisé des failles dans des modules complémentaires comme Java, Quicktime ou Acrobat reader. C’est ainsi, en exploitant des versions non mises à jour de Java ou de lecteur de .PDF que des pirates ont pu entrer dans des machines du FBI ou du ministère des Finances en France. Pour contrer ce type d’attaque, il faut non seulement mettre à jour le navigateur, mais également tous les modules complémentaires. L’application gratuite Browsercheck de Qualys pourra vous renseigner (https://browsercheck.qualys.com/).
Avec les smartphones
Le dernier point remarquable dans les cyber-menaces tient à l’usage massif des smartphones. On a vu apparaître de nombreux logiciels espions notamment capables d’intercepter les SMS. Le but de ces logiciels n’est pas justement de pirater le téléphone, mais de capturer un SMS (parmi d’autres fonctions). En effet, le système de cartes bancaires utilise de plus en plus des systèmes de SMS pour renforcer les paiements en ligne. Vous recevez un SMS sur votre téléphone avec un mot de passe valable une fois qui va vous permettre de confirmer la transaction. C’est beaucoup mieux qu’un mot de passe statique, car l’attaquant doit aussi avoir accès à votre téléphone pour pouvoir saisir le code frauduleux… Or c’est exactement ce que font ces logiciels… Ils permettent de visualiser les SMS (entre autres) de votre téléphone à distance, et bingo !
Accueil Bonnes pratiques : adoptez les bons comportements