Le facteur humain, maillon faible de la cybersécurité
© 2011 EPFL
Des hackers ont récemment infiltré les réseaux des Nations unies ou d’agences gouvernementales US. Juraj Sarinay, doctorant à l’EPFL, revient sur ces événements.
La cybersécurité a récemment fait la une des médias. Il y a une semaine, la société McAfee publiait un rapport à propos des failles de sécurité affectant 72 réseaux informatiques, parmi lesquels des agences gouvernementales américaines ou les Nations unies. Samedi dernier, le groupe de hackers LulzSec rendait public des informations des réseaux de la police, en représailles à l’arrestation de leur porte-parole présumé. Nous avons rencontré Juraj Sarinay, doctorant au Laboratoire de cryptologie algorithmique, et discuté à propos de ces événements.
Comment se fait-il que les Nations Unies n’aient pu détecter des failles de sécurité, alors même qu’il est avéré qu’elles dataient de 2009?
Juraj Sarinay : En fait, cela n’a rien d’étonnant. Si un logiciel malveillant (malware) est bien codé, il peut être impossible à détecter. Le simple fait que ce programme ait été décelé démontre qu’il était plutôt mal conçu – on découvre de tels intrus tous les jours dans les réseaux. La majorité de ces attaques par malware sont menées par le biais d’emails piégés. Par exemple, vous recevez un message plus ou moins bien formulé, qui semble provenir d'un expéditeur digne de confiance, mais qui contient un lien vers un malware. En cliquant sur le lien, le destinataire enfreint généralement la politique de sécurité de son entreprise. Il introduit un corps étranger dans son ordinateur. Il est presque impossible de s’en apercevoir quand un seul ordinateur est touché. Via le logiciel, l'intrus va progressivement accéder à l’entier du réseau. La plus grande difficulté pour le pirate sera de collecter ces informations depuis l’extérieur du réseau. Mais si la manœuvre est suffisamment discrète, cela peut prendre des années avant que l’on s’en aperçoive.
Hormis l'email piégé, quelles sont les autres tactiques pour introduire ces logiciels sur nos ordinateurs?
Une autre manière d’introduire un logiciel malveillant dans un système est d’exploiter ses bugs. D’où l’importance de procéder régulièrement aux mises à jour du système ou des logiciels. Aucun système n'est totalement dénué de bugs, si bien qu'on en découvre régulièrement qui étaient inconnus jusqu’alors. Une telle faille peut être exploitée à de nombreuses reprises, jusqu'à ce qu'elle soit découverte et patchée par une mise à jour. Si vous désirez lancer une attaque sur une cible importante, vous avez donc tout intérêt à utiliser un bug fraîchement découvert. C'est pourquoi de telles informations ont une réelle valeur commerciale, et peuvent être vendues sur le marché noir à des personnes malintentionnées.
De quelles technologise ces hackers se servent-ils ?
La plupart des attaques ne nécessitent pas une technologie très complexe - au mieux une bonne connexion internet peut être utile. De plus, le code de la plupart des logiciels malveillants est public. Les pirates ne doivent donc même pas être des as de la programmation – d’ailleurs, ils ne le sont généralement pas. Si de mon point de vue le piratage n'est pas en soi extrêmement compliqué, ce n'est pas pour autant une activité triviale. Généralement, leurs méthodes n'évoluent pas très vite et sont raisonnablement bien comprises. Ils ont besoin de techniques, plus que de technologies. Il leur faut des aptitudes sociales pour élaborer des emails piégés efficaces: un langage convaincant, une certaine connaissance de l'institution visée. Pour des cibles de plus haut niveau, le pirate aura besoin d'un peu plus de chance et de connaissances, d'une meilleure compréhension de sa cible. Mais la manoeuvre ne nécessite pas de technologie secrète, ni même d'un ordinateur particulièrement puissant. Ce sont les facteurs humains qui rendent impossible une défense absolue contre les attaques.