Le terme cybersécurité désigne l'ensemble des pratiques et outils qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels des Etats et des organisations. Au vu des enjeux pécuniaires liés à la vulnérabilité des Systémes d'Information (SI) chaque organisme se doit d'assurer la sécurité de son SI.
Qu'est-ce qu'un Système d'Information ?
Le système d'information d'une organisation correspond à l'ensemble des actifs permettant de collecter, classifier, stocker, gérer et diffuser les informations au sein d'une organisation. Pour tous types de données, chaque système d'information se doit de respecter 3 principes essentiels :
La confidentialité :
La confidentialité des données est la protection des communications ou des données stockées contre l'interception et la lecture par des personnes non autorisées.L'intégrité :
L'intégrité des données désigne l'état de données qui, lors de leur traitement, de leur conservation ou de leur transmission, ne subissent aucune altération ou destruction volontaire ou accidentelleLa disponibilité :
Il s'agit de l'aptitude à rendre les informations accessibles aux personnes autorisées. L'infrastructure quant à elle, permet de stocker ces données. Mais comment ?
L'infrastructure et la vie facile
Pour longtemps, notre environnement de travail consistait en une infrastructure matérielle, avec des serveurs sur site, qui hébergeaient les données de l'entreprise en local. Désormais, face aux impératifs de mobilité et d'accessibilité à l'information, nos environnements de travail se dématérialisent. Les entreprises font de plus en plus appel à des solutions stockées dans le cloud : on parle de virtualisation.
La virtualisation étant le fait de disposer de son parc de machines, son réseau et/ou de ses logiciels dans un environnement virtuel : le cloud. Le serveur est désormais distant. On y accède en ligne au moyen d'une connexion internet sécurisée.
Trois dispositifs techniques existent, répondant à différents besoins :
IaaS (Infrastructure as a Service) :
permettant d'externaliser l'infrastructure informatique matérielle. Ainsi, il est désormais possible pour les entreprises de déléguer à un fournisseur, à travers un abonnement, l'installation des serveurs fichiers, les réseaux ainsi que le stockage de leurs données. Les couts superflus de l'achat d'équipements et de leur maintenance sont ainsi évités.PaaS (Platform as a Service) :
le PaaS quant à lui consiste à sous-traiter non seulement l'infrastructure matérielle mais aussi les applications middleware comme les systémes d'exploitation, les bases de données, ou encore les serveurs web.SaaS (Software as a Service) :
ce dispositif permet aux entreprises d'utiliser de multiples applications accessibles en ligne. On retrouve notamment des outils proposés par Google (Google Apps) ou Microsoft (Office 365) qui permettent d'accélérer l'intégration du travail collaboratif. Des CRM (Salesforce), des ERP (Infor, NetSuite, Workday...) et des solutions pour les ressources humaines (SuccessFactors, Talensoft, Cornerstone), sont également disponibles en mode SaaS.
Et la sécurité dans tout ça ?
Le nombre d'entreprises qui adoptent les dispositifs IaaS, PaaS ou encore Saas pour la gestion de leurs données ne cesse de croitre d'année en année. Cet essor fulgurant montre que les entreprises sont de plus en plus prêtes à faire confiance à ces solutions. Ces mêmes entreprises persistent à exprimer une certaine méfiance, comptes tenus de l'environnement actuel et les différents incidents relevés aux médias par certaines entreprises d'envergure, comme ça a été par exemple le cas de la faille de sécurité inscrite dans le code de développement de Google+ découverte en mars 2018. Cette faille aurait permis à des pirates de toucher à près de 500 000 comptes Google+ en deux semaines. Et les exemples sont nombreux...
Pirater, mais pourquoi ?
On désigne par pirate informatique toute personne qui profite de la vulnérabilité d'un SI pour accéder à des données privées. Il faut noter qu'on distingue 3 types de pirates : les Black Hat, les Grey Hat et les White Hat. Je m'étalerai sur les critères qui distinguent chacun de ces 3 types de pirates dans un second article, mais ce qui importe ici c'est de faire le focus sur les mobiles d'un piratage informatique malveillant.
En général, les pirates dérobent vos données privées pour les quatre raisons suivantes :
Vos données valent de l'or :
Votre numéro de carte de crédit, votre date de naissance, vos livres préférés ou encore vos dernières destinations à l'étranger sont autant d'informations qu'un pirate peut monnayer.L'espionnage d'entreprise :
Voler des informations sur les produits et les services d'un concurrent permet d'obtenir un avantage sur le marché.La vengeance :
Certains pirates informatiques ont des motivations politiques ou sociales. Ces pirates activistes cherchent à attirer l'attention du public sur un problème soit en rendant publiques certaines informations peu flatteuses sur leur cible soit en mettant hors service une partie ou l'ensemble du SI de celle-ci.La guerre numérique :
Des nations entières se livrent à des actes de piratage encadrés par des États en vue de disposer de renseignements commerciaux ou nationaux permettant de déstabiliser l'infrastructure de leurs adversaires ou même semer la discorde et la confusion dans le pays cible.
Vous pouvez être le vecteur d'une cyber-attaque sans le savoir !
Dans la plupart des cas, l'être Human est le maillon faible du SI. Le manque de vigilance de sa victime ou quelques instants d'inattention sur son équipement informatique est sur quoi compte un hacker pour créer la faille du systéme.
Ci-dessous quelques exemples :
Une erreur humaine
Un acte trés anodin peut avoir de trés graves conséquences : laisser une session ouverte, ouvrir un mail de source inconnue, cliquer sur un lien non sécurisé sont autant de façons d'inviter un hacker à accéder à vos données. N'oubliez jamais que le hacker, est à la base, un manipulateur ! Il ne manquera pas d'imagination pour entrer en contact avec vous et c'est là où il va vous induire à l'erreur.
L'usage de gadgets
- La MalDuino : est un périphérique USB alimenté par Arduino qui a des capacités d'injection de clavier. Une fois branché, MalDuino agit comme un clavier, tapant des commandes à des vitesses surhumaines. Quelques minutes en tête à tête avec votre machine sont donc suffisantes pour que le hacker télécharge toutes vos données.
- La WiFi keylogger : Oui, la taille compte ! Car Avec des dimensions de corps de 10 mm x 10 mm x 15 mm, il s'agit du plus petit enregistreur de frappe matériel USB jamais disponible sur le marché, capable de télécharger des données à distance : rapports par courrier électronique, sauvegardes FTP et diffusion Web en direct en mode client Access Point & WiFi et horodatage. Imaginez si quelqu'un arrive à insérer ce petit gadget sur votre pc de bureau par exemple ?
- La WiFi PINEAPPLE : est un puissant outil d'audit de réseau sans fil qui exploite un hardware puissant et une interface Web intuitive pour s'intégrer à votre flux de travail pentest. La réalisation d'attaques trés pointues est extrêmement simple à mettre en œuvre avec ce si petit appareil. La gestion du flux de tâches en cours ainsi que la précision des informations obtenues sont vraiment exceptionnelles pour un si petit appareil. Il suffit donc de poser ce petit appareil à proximité de votre appareil pour s'introduire dedans
Connectés au Web, les utilisateurs sont exposés à de nombreux dangers : Contrôle du SI ou déformation des données, usurpation d'identité, blocage des SI ou encore crypto mining ... la seule solution est la prévention.
