La sécurité informatique : sommes-nous sur le droit chemin ?

Une aura sexy entoure la cybersécurité dans la presse internationale. Bon… Sexy, peut-être pas, mais tout le monde en parle et, visiblement, tout le monde se sent concerné par elle. Cependant, il reste encore beaucoup de nuages noirs dans le ciel. Les investissements dans la sécurité informatique restent grandement inégaux d’une région à l’autre, d’un pays à l’autre, ou même d’un secteur à l’autre. D’après une analyse  des données financières effectuée par le cabinet Preqin, les sociétés de sécurité IT aux Etats-Unis ont levé 8,1 milliards dollars en 2015, alors qu’en Europe, les chiffres enregistrés par les 600 organismes spécialisés existants n’ont pas dépassé l’ordre des millions, seulement 300 millions de dollars, pour être plus précis. Seulement 300 millions ? Oui, cette somme peut paraître colossale pour les individus que nous sommes, mais cette somme s’applique à toute l’Europe, et représente seulement (oui, encore…) 3,7% du budget américain.

Ironiquement, l’expansion du numérique et de la protection digitale est perçue comme étant prioritaire en Europe, rendant ce désintérêt est encore plus surprenant. Les entreprises ont-elles trouvé la solution miracle pour assurer un haut niveau de cybersécurité ? N’ont-elles plus besoin de protéger leurs données sensibles ? Bien sur que non ! (Sinon, nous ne serions pas en train de vous proposer cet article).

La réponse la plus probable ne va pas vous plaire… Il s’agit d’un manque de connaissance et de sensibilisation. Si nous ignorons l’existence d’un danger, il est difficile de s’en protéger (ceci n’est pas un proverbe chinois, c’est une création « originale » par nous, pour vous!). Trêve de philosophie, revenons sur du concret : en France par exemple, 80% des entreprises ne sont même pas dotées des outils basiques de protection (cf. BPI France).

D’un autre côté, les pirates informatiques continuent à se regrouper sous forme d’une véritable industrie (ou comme les guildes des anciens temps), avec des places de marché dédiées, des objectifs et des cibles fixées en amont et une vision à long-terme, plus proche du cyber-businessman que du cybercriminel.

 

Le piratage informatique : un business model en pleine ascension

En considérant le fonctionnement de notre économie actuelle (rassurez-vous, nous ne l’aborderons pas…), il est possible de faire un parallèle entre les organisations cybercriminelles et les organisations classiques. Pourquoi ? Parce que ! Non, sérieusement, tout simplement parce que comme toute autre organisation, la communauté de hackers est dans une logique d’augmentation des revenus, de réductions des coûts et, de plus en plus, de différenciation « produit ».

Augmentation des revenus :

Comme le disent d’illustres philosophes sur Facebook, le savoir est une arme. Sauf que dans notre cas, le savoir correspond aux données informatiques. Ces dites données font office de monnaie sur les marchés du Dark Web (non, ce n’est pas un seigneur Sith…). L’équation est simple :

↑ attaques = ↑ données sensibles = ↑ revenus

Conformément à l’annonce de Kaspersky du 15 juin, plus de 70,000 serveurs ont été piratés dans le monde au cours des derniers mois, et sont désormais disponibles à l’achat sur une place de marché

Parfois, c’est une tout autre méthode qui est appliquée : le chantage. Oui, ce n’est pas beau, mais cela fonctionne, alors pourquoi s’en priver ? Il y a peu, les bases de données de Linkedin, Tumblr etc. (voir notre précédent article sur « L’hygiène informatique des réseaux sociaux » ici), ont été révélées, alors que le piratage datait de 2012. Pourquoi avoir attendu autant ? Pour échanger les données récupérées contre une jolie petite somme bien entendu… Et dans le cas d’un refus, hop, on diffuse la base de données. Il est à noté que certains pirates sont bien plus moraux, et diffusent directement les données récupérées, dans un souci de transparence sans doute… ou peut-être pas…

Partant de la pratique du chantage, il n’y a qu’un pas pour en arriver aux cryptolockers (voir notre précédent article sur « Comment éviter la prise d’otage de vos données » ici), mais nous commençons à nous égarer.

 

Réduction des coûts :

Prenons à nouveau une expression : « il ne faut pas réinventer la roue ». Soit. Vous vous demandez pourquoi nous utilisons cette expression ici, au milieu de nulle part ?

Pour rester sur l’idée de l’organisation/entreprise, certains pirates sont toujours prêts à trouver de nouveaux moyens pour s’infiltrer dans nos ordinateurs et nos bases de données, mais il y a aussi des amateurs, qui vont réutiliser les outils et les méthodes existantes. En plus de cela viennent s’ajouter des kits d’exploitations (des exploits), comprenez par la des scripts facilement récupérables sur internet permettant d’exploiter une faille spécifique. Cette « industrialisation » tend à nous montrer que la cybercriminalité se dirige vers des offres de services, en mode SaaS, sur le Dark Web. Ainsi, Jean-Michel Malhonnête¹ n’a plus besoin de lire « Le hacking pour les nuls » et peut simplement trouver un hacker compétent pour faire le sale boulot, moyennant une offre pécuniaire.

 

Différentiation produit :

Le marketing a infiltré chaque couche du web, de la surface (l’Internet que la ménagère de 40 ans utilise) aux abysses (le Dark Web, la ruelle sombre d’Internet). Les hackers, comme tous les businessmen, ont besoin de se faire connaître et de prouver leur expertise. C’est pour cette raison qu’ils essayent de mettre en avant leurs techniques, notamment sur YouTube ou encore divers forums douteux (et au passage, illégaux). Souvent, cette « publicité » clandestine est effectuée en utilisant un vocabulaire complètement diffèrent de celui utilisé dans le domaine de la cybersécurité – avec une petite note d’humour (voir le Dictionnaire des Hackers ici). Le but est de maintenir l’engagement à l’intérieur de la communauté et non pas d’instiguer la peur (voir la nuance militariste des termes attribués au milieu de la sécurité informatique : « kill chain », « advanced persistent threat », et tout autre « buzz-word » faisant trembler les décisionnaires).

A Rome, il faut vivre comme les Romains

Oui ! Encore une expression (bon ok, c'est une citation de Saint Augustin lors de son voyage à Rome en 54) ! Avant que vous nous remerciez d'étancher votre soif de culture générale, continuons notre article (rassurez-vous, c'est bientôt fini !).

Les entreprises du monde entier ont bien compris que pour protéger leur avenir, il faut définir clairement leur approche business. Les hackers ont vite saisi que pour survivre à Rome, il faut vivre comme les Romains (#clinDoeil). De plus en plus organisés sur des plateformes collaboratives, les pirates ont créé une vraie perturbation dans la force de l’environnement entrepreneurial. Ils ont transformé un modèle criminel en une manière profitable de faire du business. Et même si les organismes en sécurité ont essayé de démocratiser la protection des données jusqu’aux entreprises de taille modeste, les hackers eux, n’ont pas tardé à suivre avec le DIY des attaques informatiques pour les nuls.

Comprendre comment le pirate moderne fonctionne pourrait nous aider à mieux faire face aux attaques, en se concentrant directement sur la cause fondamentale et non pas sur les symptômes. La sécurité traditionnelle, basée sur des politiques, mais aussi sur de bonnes pratiques, offre un blocage de type ALLOW / DON’T ALLOW, qui nous rappelle une réalité en noir et blanc, une vision fortement manichéenne, alors que le cyber-paysage est plutôt peint en 50 nuances de gris².

Réfléchir aux modèles opératoires employés par les pirates est la seule option que nous ayons pour pouvoir trouver ces nuances.

¹ Tous les personnages présents dans cette œuvre sont fictifs. Ils n'ont aucun lien avec des personnages existants ou ayant existé.

² Ceci n'est pas un placement de produit, nous n'avons reçu aucun chèque lors de l'écriture de cet article.

Liens :

https://www.reveelium.com/fr/cybersecurity-on-the-right-track/

https://www.itrust.fr/s%C3%A9curit%C3%A9-informatique-le-droit-chemin