Sécurité : des technologies qui restent imparfaites
L’imperfection des technologies de sécurité apparaît de plus en plus évidente à qui pouvait encore vouloir l’ignorer. Mais ce n’est pas une excuse.
Un document publié récemment par MRG Effitas et le CrySyS Lab détaille les résultats de quatre attaques taillées sur mesure face à cinq produits bien connus de protection contre les attaques avancées persistantes (APT). L’un des échantillons malveillants, baptisé BaB0, s’est avéré capable de passer au travers des filets des cinq produits étudiés. Et, selon les auteurs, « seuls les deux échantillons les plus simples » ont été détectés. Mais simplement en déclenchant des alertes de « basse sévérité dans certains cas ». Préoccupant.
L’étude, qui ne vise pas à décerner bons points et bonnets d’âne, ne dévoile pas les noms des produits qui ont présenté de si décevantes performances, ni ne fournit d’informations spécifiques sur leurs éditeurs. Se voulant constructifs, les auteurs prévoient plutôt de fournir les détails de BaB0 pour aider les éditeurs à améliorer leurs produits. Ce qui ne les empêche pas de formuler quelques commentaires acerbes, dénonçant « stratégies marketing et prix honteusement élevés ».
De fait, pour les auteurs, « certains des produits que nous avons testés semblent surestimés par leurs utilisateurs qui croient qu’ils constituent une solution imparable. […] Nos tests sont la preuve évidente que les principaux outils de détection d’APT peuvent être contournés (parfois avec des efforts modérés). Et si nous avons pu le faire, les attaquants responsables d’APT le pourront aussi… si ce n’est pas déjà fait. »
Mais cela suffit-il à tout excuser, à dédouaner les entreprises victimes d’attaques avancées de toute responsabilité ? Le débat est relancé par l’attaque dont Sony Pictures a été victime. Pour Mandiant (filiale de FireEye), qui épaule le groupe dans l’enquête et le nettoyage de son système d’information, « l’étendue de cette attaque diffère de tout ce à quoi nous avons répondu dans le passé ». Selon des commentaires attribués à Kevin Mandia, patron de Mandiant, cette opération fait partie de celles « pour lesquelles ni Sony Pictures ni aucune autre entreprise pourrait avoir été pleinement préparée ».
Thinkst l’entend d’une autre oreille. Et de pointer ainsi l’approche affichée en 2007 par le RSSI de Sony Pictures d’une sécurité orientée conformité : « nous pourrions être littéralement ruinés si nous essayions de tout couvrir. Dès lors, nous prenons des décisions basées sur le risque : qu’est-ce qui est le plus important et exigé par la loi ? »
Pour Thinkst, « les capacités de détection et de réaction de Sony étaient aussi faibles que possible ». Alors, pour Ken Levine, CEO de Digital Guardian, cité par nos confrères d’Ars Technica, une évidence s’impose : « Ce que nous disons est que s’il n’est pas possible de prévenir toutes les intrusions, ce que les attaquants ont obtenu peut absolument être prévenu. »
