Sécurité des réseaux et des SI - Orange Business Services

Ne vivons-nous pas une époque formidable?
Avec d'une part, les évolutions  dans le domaine de l'IT et des télécom et d'autre part la maturité évidente du marché de la sécurité, nous pourrions penser que le métier de la sécurité évolue ou va évoluer aussi et que les pratiques d'hier vont lentement disparaître pour donner naissance à de nouveaux paradigmes.

Et bien si nous pensons cela alors peut-être nous trompons-nous. Examinons la situation telle qu'elle est.
L'environnement du SI tout d'abord, l'ouverture des réseaux est avérée. Le réseau de l'entreprise est moins borné qu'hier et ses frontières difficiles à protéger. La "device mania" bat son plein, à juste titre et pour de vrais apports pour l'entreprise et l'utilisateur final. Là aussi, les technologies sont clairement à maturité et "monsieur" tout le monde peut enfin entrevoir les apports des technologies mobiles.
Le cloud computing enfin, nous est présenté comme l'avenir de l'informatique et comme cette troisième voie que les professionnels attendaient ?

Selon ScanSafe, le téléchargement illégal en entreprise serait en plein essor.

La raison évoquée serait liée à une certaine prise de conscience des personnes concernant la récente législation dans le domaine : Au lieu de télécharger ces contenus depuis leur domicile, les personnes le feraient depuis leur lieu de travail.

Les raisons à ce "transfert" seraient un sentiment de relative impunité (l'accès Internet utilisé étant dans ce cas lié à l'identité de l'entreprise et non plus de la personne), pouvant être renforcé par le fait que d'autres collègues se livrent aussi à ce "sport" depuis leur lieu de travail (dans ce cas, par quels moyens l'employeur pourra-t-il identifier précisément et de façon fiable quel employé associer à une plainte reçue ?).

Surveillance des réseaux P2P par des sociétés spécialisées
La surveillance des réseaux P2P est en place depuis quelques années maintenant : Les sociétés privées proposant leurs services sont assez nombreuses et connues.

Lorsque l'une de ces sociétés identifient un téléchargement d'un contenu (film, musique, ...) pour lequel elle a reçu un mandat de la part des ayants droits, elle envoie une notification vers le fournisseur d'accès Internet (FAI) de l'Internaute. Par défaut ces notifications sont envoyées vers la cellule en charge de traiter les abus (la fameuse cellule "Abuse").

Plaintes pour du téléchargement illégale depuis des entreprises
Afin d'éviter de rester dans les généralités et d'illustrer en quoi cela consiste et quelles sont les entreprises touchées par ce problème, je vous propose de détailler quelques plaintes
reçues au niveau de la cellule Abuse d'Orange Business Services.

Nota: Toutes les informations pouvant amener à l'identification de l'accès Internet (ou plus globalement du client concerné) ont été masquées. Cela reste néanmoins instructif.

Quels contenus et fichiers sont téléchargés ?
C'est simple, les plaintes pour des contenus vidéo (Films, séries TV, ...) sont majoritaires. Quelques plaintes pour des contenus audio mais aucune plainte concernant des logiciels. Cependant, il conviendra de ne pas conclure trop vite : L'échantillon étudié est très limité (Une dizaine de plaintes, sélectionnée "au hasard") et sur une période de temps elle aussi assez courte.

Dans les contenus reportés comme étant téléchargés de façon illégale, on retrouve :
- Plusieurs films : 2012 , District 13: Ultimatum, Legion
- Un épisode d'une série télévisée : CSI: New-York
- Un livre audio: Harry Potter
- ...

Dans les logiciels utilisés pour ces téléchargements ces contenus :
- BitTorrent
- Areswarez
- eDonkey
- Gnutella


Les plaintes reçues se présentent sous la forme suivante :

Ô toi qui n'écris pas, tu ne connais pas ton bonheur. (ancien proverbe sumérien vers 3200 Avant JC période Uruk récente). Les inventeurs de l'écriture étaient aussi de grands sages, ils savaient déjà que l'écriture serait L'invention de l'humanité et aussi sa meilleure arme. Aujourd'hui alors que nous nous dirigeons lentement mais sûrement vers une post-alphabétisation (je reviendrai sur ce sujet dans d'autres articles), ce n'est que plus vrai. Il est parfois difficile de trouver un sujet qui ne déclenche pas une nouvelle guerre de religion plus mortelle que celles du seizième siècle. Il n'y a qu'à parler d'un système d'exploitation par rapport à un autre, et hop des milliers de morts. Parler des faiblesses d'un terminal ou d'un algorithme, et je reçois instantanément des messages me promettant plus que la mort. Je tiens à ma petite santé, moi, et je ne souhaite que la paix universelle...

Après un rapide brainstorming avec moi même (15 jours quand même, et encore toutes les parties n'étaient pas d'accord), j'ai vu la lumière (enfin celle du frigo), parlons d'un sujet n'attisant pas les passions, et c'est peu de le dire comme vous allez le voir : le mot de passe (ou password dans la langue de Shelley ou de Wilde, c'est plus simple que d'écrire Shakespeare quand même).

Alors que les scientifiques annoncent la fusion nucléaire contrôlée pour 2050, les fusions des vies, informations, logiciels, matériels informatiques et technologiques privés et professionnels ont déjà débuté. Malheureusement, la fusion des sphères d'informations privées et professionnelles se fait de manière incontrôlée grâce à l'explosion des outils du Web 2.0 et notamment des réseaux sociaux. Nous avons déjà évoqué les dangers liés à une utilisation naïve et non maîtrisée de ces outils (cf.post 1 et post 2).

Cependant, ces outils et cette évolution de l'éthnographie numérique représentent l'avenir et sont désormais incontournables comme le rappelle fort justement l'article du Monde en date du 22 janvier 2010 Assiste-t-on à une "démocratisation" de la vie privée ? Les réseaux sociaux offrent de nombreuses opportunités pour le développement des entreprises (e-reputation, marketing, RH, recueil et partage d'informations métier etc.). Nous évoquerons d'ailleurs dans un prochain post ces opportunités d'utilisation des réseaux sociaux qui peuvent s'avérer être une bonne stratégie de sécurité.

Face à l'ampleur et à la rapidité du phénomène, le principe de précaution pris par la majorité des directions de sécurité a été d'interdire leur utilisation. Cette interdiction n'est pas applicable et va à l'encontre du développement individuel et des entreprises.

Les responsables de la sécurité qui sont déjà conscients des risques doivent désormais prendre conscience des opportunités liées aux réseaux sociaux et accompagner leurs dirigeants et personnel à les utiliser de façon maîtrisée. Il ne faut pas renier les bases de la sécurité, mais adapter le discours afin de ne plus être une entité vue comme un centre de coût et un frein à l'innovation mais plutôt comme un guide accompagnant tout à chacun vers une utilisation des nouvelles technologies de façon opportune, maîtrisée et consciente. Cet accompagnement doit donc se faire au quotidien en prônant le « je vous ai compris : utiliser les réseaux sociaux et pour cela je vais vous servir de guide ». Une sécurité porteuse d'innovation s'intégrera mieux en amont des projets et de façon plus naturelle dans la stratégie d'entreprise.

Il va sans dire, qu'une charte fixant le cadre et les limites d'utilisation est indispensable. Mais celle-ci doit être complétée par un guide de bonnes pratiques didactique et proche de la majorité des utilisateurs.

Je vous propose donc une petite vidéo permettant d'accompagner les utilisateurs et donc les employés de vos entreprises pour leur apprendre à mieux paramétrer leur compte Facebook. Cette vidéo ne présente pas de manière exhaustive l'ensemble des paramètres mais permet aux utilisateurs d'y voir un peu plus clair dans le paramétrage de confidentialité Facebook.

Impossible de leur interdire l'utilisation à partir de leur poste privé alors autant leur apprendre à mieux l'utiliser. Les vies privées et professionnelles étant en pleine fusion, protéger la vie privée de ses employés permet également de protéger les informations à caractère professionnel. La formation du personnel est devenue une priorité. 

Dans le prochain épisode, comment Facebook pourrait être utilisé pour diffuser ces bonnes pratiques aux employés et surtout comment créer le dialogue sur les médias qu'ils utilisent en masse.

PS : Depuis le vendredi 5 février, Facebook migre petit à petit les comptes vers une page d'accueil différente. La fin de la vidéo présente cette nouvelle page et les principales nouveautés en termes de paramètre de confidentialité.

C'est une tradition, et je suis très traditionaliste (bientôt des articles en latin, seule véritable langue européenne), de souhaiter une excellente année à nos lecteurs. Bonne année à tout le monde, et une bonne santé à vos SI. Voilà c'est fait.

Que souhaiter, une baisse des attaques et du cyber-terrorisme en général, bien sûr... Mais malheureusement vais je être écouté? (ou lu?), je ne le crois pas. L'année à venir sera comme l'année précédente, d'un point de vue de la sécurité, les moyens d'attaque changeront peu.

Souhaitons donc une bonne année aux spams et au phishing qui devraient enfin s'adapter à la difficile langue française. Fini le français approximatif, et bienvenue à une langue très châtiée (remarquez, c'est pratique de mon point de vue, je ne la comprendrai pas et l'étiquetterai dangereuse) . Il sera difficile d'y voir clair. Surtout, qu'il existe déjà des phishings prenant pour cible certaines institutions, notamment les impôts. Et là, vous allez craquez, sissi... Les impôts vont vous envoyer une lettre de trop perçu, en vous demandant de fournir vos coordonnées bancaires pour le remboursement. Qui va résister? ...

Prenez le scénario suivant : Une faille de sécurité d'un de vos serveurs est exploitée par un attaquant. Via cette porte d'entrée, il y dépose quelques outils de son choix afin de "cloner" la machine pour ensuite transférer cette image sur un serveur externe sous son contrôle.

Une fois le vol commis, il disparait aux confins de l'Internet : Il a tout le temps requis pour en analyser et en exploiter le contenu. Possédant une image du système, il pourra réactiver un système tel qu'il était initialement afin d'en analyser le fonctionnement et son contenu.

Ce scénario de "cambriolage" est tout à fait vraisemblable : Les outils sont disponibles en téléchargement depuis les sites Internet d'éditeurs de logiciels de virtualisation.

Revenons un peu sur l'information. Comme je l'écrivais l'information est partout. Mais l'information a changé. Je ne regarde pas trop la télévision à cause de ma mauvaise vue (j'attends une télévision avec les odeurs), mais j'ai remarqué que de plus en plus de reportages étaient des documents amateurs filmés la plupart du temps sur des téléphones portables. Les journalistes passant du rôle de créateurs à des disc jockey de l'information, celle-ci étant parfois mal ou pas vérifiées. Et c'est là que le bas blesse, tout le monde donne son avis, est il le bon ? Il n'y a qu'à voir la rapidité de circulation d'une rumeur. Des recherches faites sur la rumeur ont prouvé que 70% du message était perdu au bout de 5 à 6 échanges (Allport/Postman 1947), le message devenant plus court, concis, et imprécis.

Puisque nous parlons du facteur humain dans la sécurité, il est important de parler de comment l'information est perçue et retransmise. Il existe des centaines de livres et d'études sur ce sujet, ici , je me contenterai de mettre en exergue certaines idées fortes et adaptables à la sécurité de l'entreprise. La façon dont nous percevons le monde est le premier point à étudier.

La sécurité a souvent changé d'orientation au cours des années. La sécurité d'accès physique et logique du mainframe dans les années 70, le réseau local dans les années 80, puis plus généralement dans les années 90 sur l'infrastructure interne de l'entreprise, et nous y sommes encore (normes ISO xxx oblige).

Il y a un mois, jour pour jour, je publiai un bulletin au sujet d'une attaque visant certains des clients d'Orange Business Services utilisant des adresses emails se terminant en "@dial.oleane.com" : L'objectif des attaquants était d'installer un cheval de Troie (connu sous le nom de "ZeuS" ou "Zbot") sur les machines afin de voler des informations bancaires.

Selon TheRegister.co.uk, un homme et une femme agés de 20 ans environ viennent d'être arrêtées en Angleterre : Selon le JDNet, il auraient été en mesure de collecter quotidiennement près 200.000 données pour un total de 10.000 machines infectées. L'enquête suit son cours. A suivre....

Il y a fort à parier qu'il ne s'agit pas d'un cas isolé : Ce type de logiciel étant assez facilement téléchargé ou encore acheté à bas prix sur des sites assimilables au marché noir... Deux de moins : Cela rappelera à certains que l'Internet n'est pas un espace sans règles.