<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1033252670099820&amp;ev=PageView&amp;noscript=1">
New Call-to-action

L’Interview Cyber : Les clés pour renforcer la sécurité à la conception

› › › RETOUR AU BLOG

[fa icon="calendar"] 20 déc. 2017 17:12:40 / by Cécile Garrett

Lors d’une précédente interview abordant les enjeux de sécurité à la conception et des objets connectés, Julien Patriarca, Directeur des Services Professionnels chez WALLIX et acteur cyber depuis plus de 10 ans abordait la question de responsabilité vis-à-vis de la sécurité.

Cette deuxième interview donne des pistes concrètes à l’implémentation des bonnes pratiques liées à sécurité à la conception.

renforcer-la-securite-a-la-conception.jpg

Pour quelles raisons faisons-nous abstraction de la sécurité à la conception ?

Est-ce un choix ou sous estimons-nous la sécurité ?

La sécurité est souvent perçue comme un frein à l’usage du numérique. Que ce soit auprès des individus ou des sociétés qui fabriquent du matériel connecté ou des logiciels, renforcer la sécurité dès la conception est un effort au quotidien pour les entreprises et les utilisateurs. Le processus demande du temps, de l’organisation et une certaine rigueur car la sécurité à la conception s’étend à l’implémentation de bonnes pratiques de sécurité dans l’usage de l’objet connecté ou du logiciel. De la même manière, un fabriquant ou un développeur qui souhaiterait renforcer la sécurité à la conception d’un matériel en obligeant les utilisateurs finaux à définir des identifiants et des mots de passe plus complexes pourrait craindre de voir un chiffre d’affaires moins important sur le court terme. Si les concurrents de ce fabriquant favorisent la simplicité d’installation et d’utilisation à la sécurité, ce qui est souvent le cas des utilisateurs finaux, cette crainte est compréhensible. Cependant, implémenter des techniques de sécurité à la conception sera à moyen terme un critère différentiateur à forte valeur ajoutée car il positionnera de telles entreprises en acteurs de la confiance numérique, avant de devenir une fonctionnalité indispensable.

Le manque de sensibilisation et d’éducation des utilisateurs finaux est l’un des défis phares de la sécurité à la conception.

Les individus n’ayant pas encore reçu d’éducation très affirmée vis-à-vis des enjeux de sécurité liés au numérique, les fabricants qui souhaitent renforcer la sécurité de leurs produits à la conception prennent le risque que leurs clients optent pour une solution qui leur semble plus simple. On entend souvent des remarques comme :

« Je n’ai pas envie de retenir le mot de passe. »

« Je n’ai rien à cacher, qu’est-ce qu’un hacker viendrait chercher chez moi ? »

Je n’ai rien à cacher, qu’est-ce qu’un hacker viendrait faire chez moi ?

securite-a-la-conception-responsabilite.jpg

Les individus ont souvent peu de recul sur l’échelle et l’impact d’un piratage. Il ne s’agit pas d’un simple vol de données. L’attaque massive de Dyn, un fournisseur de services DNS, où des pirates ont exploité la faiblesse de la sécurité des caméras connectées pour attaquer par brute force l’entreprise américaine mettant à genoux des sites comme Twitter ou Reddit en est la preuve. Cet incident démontre l’ampleur de l’impact qu’un manque de sécurité à la conception peut engendrer. Pourtant, il est important de souligner que ce type d’attaque aurait pu avoir des répercussions allant bien au-delà de l’arrêt momentané de l’internet mondial, avait-il ciblé des organisations étatiques par exemple.

Il est facile d’imaginer un scénario où des pirates informatiques exploitent une vulnérabilité dans les caméras connectées pour lancer une attaque sur le service qui héberge le site des impôts la veille de la date du dernier tiers. Les caméras faiblement protégées avec des identifiants comme admin/password sont alors prises pour cibles pour perturber le processus de déclaration. Si un tel scénario venait à se produire, il est fort possible que les utilisateurs ne prendraient pas conscience de leur responsabilité dans cette attaque et accuseraient seulement l’organisme des impôts d’un manque de sécurité.   

Encore une fois, il y a une vraie notion d’éducation à mettre en place pour sensibiliser les utilisateurs au fait que la sécurité à la conception et le maintien de cette sécurité est aussi important que l’usage du produit ou du logiciel.

La sécurité à la conception est aussi importante que l’usage du produit ou du logiciel.

Cela s’applique également aux entreprises dont le budget cybersécurité est souvent amoindri jusqu’à ce qu’une attaque survienne. 

Comment peut-on pallier ce manque de sécurité ?

securite-a-la-conception-sensibilisation.jpg

Aujourd’hui, les cyber-attaques sont médiatisées ce qui contribue à la sensibilisation des utilisateurs. Une personne qui ne travaille pas dans l’IT peut regarder le journal de 20h et prendre conscience de l’impact qu’un manque de cybersécurité peut avoir dans son environnement de manière très concrète. Le fait de vulgariser les pratiques informatiques pour relayer des événements comme les cyber-attaques engage les individus qui prennent de plus en plus conscience du risque lié au numérique et aux objets connectés, et échangent sur ce sujet avec leur entourage.

Ils peuvent donc plus facilement réaliser l’impact de leurs propres pratiques dans la sécurisation des objets qu’ils utilisent et devenir acteurs pour renforcer la sécurité à la conception.

1.     Renforcer et complexifier les mots de passe

Un moyen simple et extrêmement efficace pour renforcer la sécurité à la conception est le changement de mot de passe de l’objet ou matériel connecté. Il suffit souvent d’un mot de passe un petit peu plus complexe (avec 8 à 10 caractères et des critères de complexité) pour avoir la quasi-certitude de ne jamais être piraté.

Un mot de passe complexe vous garantit une protection contre les attaques par brute force à 90%.

Pourquoi ? Le plus souvent, une cyber-attaque fonctionne par dictionnaire ou par brute force, c’est-à-dire que le pirate va utiliser plusieurs mots du dictionnaire avec toutes sortes de combinaisons possibles comme admin/password, password/admin, password1234, etc. jusqu’à obtention des accès. Aujourd’hui, un ordinateur portable a suffisamment de puissance pour pouvoir faire tourner des attaques de ce type pendant très longtemps et extrêmement rapidement. Cela signifie qu’en quelques secondes, un mot de passe faible peut être craqué et ouvrir l’accès à des données sensibles qui peuvent être ensuite dérobées, modifiées ou utilisées pour conduire une attaque de plus grande envergure.

Pallier au manque de sécurité à la conception en vulgarisant le danger sans pour autant effrayer les individus est donc nécessaire. La majorité de notre vie étant régie par l’informatique (le travail, la médecine, les courses, etc.), des dangers spécifiques à ces nouveaux usages apparaissent. Nous devons apprendre à nous prémunir de ces dangers, tout comme nous avons appris à nous prémunir des dangers routiers, par exemple. Dans l’IT, se préparer face aux cyber-risques requiert le renforcement des mots de passe. Une fois les mots de passe complexifiés, les risques de cyber-attaques sont fortement diminués - à moins d’être la cible privilégiée d’un pirate qui veut absolument rentrer chez vous parce qu’il sait que vous avez la donnée qui lui faut, mais cela est extrêmement rare. Il faut savoir que dans la majorité des cas, les individus ne sont pas visés en particulier. L’ordinateur scanne des ranges d’adresses IP chez un fournisseur ou un hébergeur pour faire tourner des attaques par dictionnaire. Elles apparaissent d’ailleurs très bien dans les logs parce que c’est un mécanisme instantané ; il s’agit uniquement d’un processus de scan informatique avec des scripts qui tournent. D’où l’importance et l’intérêt d’avoir un mot de passe renforcé pour bloquer instantanément ces attaques.

2.     Le rôle des développeurs dans la sécurité à la conception

La sécurité à la conception doit également être au cœur des préoccupations des développeurs car ce sont eux qui construisent l’objet connecté.

Lorsqu’il code, un développeur devrait systématiquement penser usages, usabilité mais également sécurité.

Si le logiciel est faillé, un pirate peut potentiellement entrer dans le logiciel ou le matériel connecté en exploitant une ou plusieurs failles. Dans ce cas, le mot de passe seul – même s’il est complexe, ne pourra pas suffire pour empêcher une attaque.

Vous avez beau mettre une porte blindée sur des murs en carton, vous ne pourrez pas résister à une attaque.

Il ne s’agira plus d’une attaque par dictionnaire mais de type zero day, avec des vulnérabilités qui sont publiées sur internet. Là encore, l’ordinateur scannera simplement l’internet pour trouver la signature des périphériques visés et conduire une attaque informatique. Il suffit au pirate de développer un script avec les programmes d’attaques pour prendre le contrôle de l’objet connecté.

En conséquence, la sécurité à la conception requiert deux éléments complémentaires : 1) un logiciel robuste sans vulnérabilité exposée 2) qui oblige un utilisateur sensibilisé à la sécurité à changer son mot de passe. 

La seule solution pour contourner la sécurité à la conception serait de développer un équipement non connecté (air gapped), auquel cas il ne risquerait pas de vulnérabilité de ce type. Pour autant, il existe d’autres attaques comme l’ingénierie sociale ou un vol de données via clé USB pouvant mettre en péril la sécurité d’équipements comme ceux-ci.

Pour en savoir plus, contactez nos équipes ou visionnez cette vidéo de 5 cas d'usage où la sécurité de vos informations peut être en danger !  

 

 

 

 

 

Julien Patriarca, expert en cybersécurité et Directeur du Support et des Services Professionnels, WALLIX

 

 

 

Topics: Mitigating External Attacks

Cécile Garrett

Written by Cécile Garrett