Cet article fait partie de notre guide: Le défi d'une gestion globale de la sécurité

Sophistiquée, l’attaque à bon dos

Et si les victimes d’attaques informatiques cessaient d’user et d’abuser de l’inflation technologique pour détourner l’attention d’une incompétence, ou à tout le moins d’une inconsistance, que certains pourraient vouloir qualifier de coupable ?

Le 29 novembre dernier, Luc Chatel, secrétaire général de l’UMP, a annoncé avoir porté plainte alors que de multiples incidents venaient d’émailler le vote électronique pour l’élection du président du parti. Et de dénoncer « plusieurs tentatives de piratage qui sont manifestement organisées », tout en insistant : « ce n’est pas de l’amateurisme. C’est du lourd. » Peut-être. Mais l’organisation de ce vote électronique ressemble à s’y méprendre à de l’amateurisme, comme le relève Rue89. Et en la matière, ça ressemble à du lourd. En particulier, le backoffice du site mis en place pour le vote est au « niveau zéro de la sécurisation » : « n’importe quel internaute peut se balader dans les répertoires destinés à l’application de traitement des votes. » Et l’accès au système peut se faire… en demandant simplement à Google. En clair : les organisateurs n’ont pas même pris la peine de refuser l’indexation de leur backoffice par le moteur de recherche.

A cela s’ajoute le recours à des composants logiciels embarquant des failles connues, à commencer par une version d’OpenSSL vulnérable à Heartbleed. Difficile, pourtant, pour quelques professionnels de l’IT n’ayant pas passé 2014 en hibernation d’affirmer qu’il n’en a pas entendu parler… Mais le code Javascript utilisé pour le traitement des données aurait également été un temps accessible. Et plutôt que d’utiliser les fichiers de configuration du serveur Web pour protéger le contenu de certains dossiers, c’est un fichier index.html qui aurait été utilisé… Pour résumer : « L’UMP a peut-être essuyé une attaque par déni de service, mais Paragon Elections, à qui incombe la partie applicative et la sécurité du système de vote, nommé Smartvotation, est loin d’être la forteresse imprenable que l’on nous a présentée. »

Entre ignorance et incompétence

Ce décalage n’est pas vraiment une surprise. La classe politique française ne brille pas par sa maîtrise des technologies de l’information. Les débats autour de plusieurs projets de loi l’ont largement montré au cours de la dernière décennie. Et Nicolas Sarkozy, même s’il souhaitait en mai 2011 qu’Internet, en tant que « révolution », s’inscrive « dans une dynamique de civilisation », ne cachait pas son incompréhension profonde du sujet quelque trois ans plus tôt. En ouverture de l’édition 2008 du CeBIT, il avait ainsi laissé rapidement de côté les nouvelles technologies pour parler industrie : « je pourrais ânonner la note de mes collaborateurs pour faire semblant de comprendre ce qui se passe », avait-il alors expliqué.

Et l’on se souviendra du piratage de Bercy, en mars 2011. Une attaque présentée comme hautement sophistiquée et qui aurait commencé par du simple hameçonnage ciblé. Et la rumeur veut même que la sécurité du système d’information du ministère n’ait alors pas exactement été à l’état de l’art.

Mais l’inflation verbale n’est pas l’apanage des acteurs du secteur publique ou des politiques. Les victimes d’attaques informatiques du secteur privé y ont également recours.

Ainsi, si l’attaque dont a été récemment victime Sony Pictures pourrait avoir impliqué un logiciel malveillant avancé, des pratiques plus que discutables sont également largement susceptibles d’être mises en cause. A commencer par le stockage d’identifiants d’utilisateurs dans des fichiers Excel et Word au sein d’un dossier intitulé… Passwords. Plus d’une centaine de fichiers en tout…

Fin septembre, Home Depot a insisté pour sa part sur le fait que « les criminels ont utilisé un logiciel malveillant unique, construit sur-mesure, pour échapper à la détection. Le logiciel malveillant n’a pas été observé précédemment dans d’autres attaques ». Mais les pratiques de sécurité du groupe n’en ont pas moins été mises en cause. Et le logiciel malveillant impliqué pourrait n’être qu’une variante spécifique de BlackPOS. Reste que, comme Target un an plus tôt, Home Depot a été victime en tout premier lieu de pratiques de sécurité qui ont permis l’utilisation d’identifiants d’un fournisseur pour infiltrer le système d’information. Et pour Target aussi, les pratiques de sécurité avaient été questionnées. Seul RSA apparaît, finalement, avoir fait publiquement un effort d’autocritique après l’incident dont il a été victime début 2011.

Créer un sentiment d’impuissance

Face à une attaque informatique, la ligne de défense semble donc simple et connue de tous : les attaquants sont trop forts ; il n’y avait rien à faire, et pourtant nous avons tout fait ; nous n’y sommes pour rien. Cette ligne traduit une approche assurantielle : elle vise à se dédouaner, à faire en sorte qu’aucune forme de responsabilité ne pourra être retenue à l’encontre de la victime, ou qu’elle sera alors très limitée. En outre, elle vise à rassurer le public sur la probité et le sens des responsabilités de la victime : tout avait été mis en œuvre. Mais cela n’empêche pas d’en faire un peu plus, après coup. Parce qu’en fait, il y a tout de même une marge de progrès…

Pour l’heure, cela ne se traduit pas encore par un mouvement de défiance à l’égard de ceux qui traitent des données sensibles. Mais cela pourrait bien arriver, à force de faire gonfler un sentiment d’inéluctable, d’impuissance généralisée face aux acteurs cyber malicieux. Un sentiment que l’on peut imaginer avoir, à long terme, un double effet détestable : d’une part, inviter chacun à se déresponsabiliser face la sécurité de ses outils informatiques, empêchant ainsi de faire du citoyen, de l’utilisateur, la première ligne de défense de la collectivité ; et d’autre part, faire émerger un environnement propice à laisser prospérer tous les délires de « civilisation » plus ou moins policière d’un Internet in fine accepté par tout un chacun comme une « zone de non droit ». Mais d’aucuns pourraient peut-être y trouver satisfaction.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close