Introduction à la sécurité informatique

Contexte

Il y a plusieurs dizaines d’années, l’informatique était une discipline marginale. Les ordinateurs de l’époque se réservaient pour une certaine élite, qui disposait de moyens financiers pour acquérir ces nouvelles machines domestiques. De nos jours, il est quasiment impossible de trouver une personne ne possédant pas un téléphone tactile, un ordinateur portable ou une tablette. Cette propagation fulgurante des moyens technologiques vient avec son lot d’avantages et d’inconvénients bien entendu, mais le sujet qui sera évoqué aujourd’hui sera la sécurité informatique. Si les acteurs majeurs de la sécurité informatique pouvaient se compter sur les doigts d’une main, il n’est aujourd’hui plus possible de considérer la sécurité comme une pratique élitiste. Tout le monde est concerné.

Je vais dès à présent me permettre un abus de langage entre sécurité informatique et cybersécurité. Il existe une divergence sur leurs domaines d’applications. La cybersécurité a pour axiome de nécessiter une mise en réseau. Si vous recevez un courriel qui vous semble louche, cela s’assimile à de la cybersécurité. Si votre collègue se fait voler son portable dans le métro, ce serait davantage de la sécurité informatique. Quoi qu’il en soit, j’utiliserai alternativement les deux termes pour varier mes propos.

C.I.D.T

Ne vous méprenez pas, le terme C.I.D.T n’est pas le nom d’un nouveau rappeur à la mode. Vous avez déjà dû être confrontés à l’acronyme susmentionné si vous êtes familier avec l’informatique. Les quatre piliers de la sécurité informatique qui forment l’acronyme C.I.D.T sont applicables à un système d’information quelconque, et sont :

– la Confidentialité : pour une donnée, qui doit pouvoir accéder à l’information ? Le prix d’un kilo de framboises de mon supermarché préféré est une information publique, qui devrait pouvoir se retrouver sur le site internet de la compagnie. Mon salaire est une information interne, qui peut être connue par ma direction des ressources humaines, alors que mon code PIN de carte bancaire est une information privée. Si celle-ci se retrouve sur Internet demain, je serais bien embêté.

– l’Intégrité : ma donnée est-elle exacte et consistante ? Reprenons l’exemple de mon salaire. La valeur de mon salaire est sans doute stockée sur un serveur de mon entreprise. Si la valeur sur le disque est celle que je reçois sur mon compte en banque, alors la donnée est considérée comme exacte. Si j’accède un million de fois à la donnée sur le disque, et que j’ai la même réponse, alors ma donnée peut être considérée comme intègre, consistante. Sinon, l’intégrité de cette information ne peut pas être confirmée.

– la Disponibilité : ma donnée est-elle accessible au moment où j’en ai besoin, et dans un délai que je définis comme raisonnable ? Il est possible d’illustrer la notion de disponibilité avec un jeu vidéo par exemple. Si le jeu a connu un succès phénoménal inattendu, il est quasi obligatoire que le nombre de serveurs initialement prévus ne soient pas suffisants pour les besoins croissants des joueurs. Les nouvelles instances alors déployées pour permettre à tous les joueurs de trouver un serveur de jeu répondront à une demande de disponibilité.

– la Traçabilité : si quelqu’un nuit à l’un des trois points précédents d’une donnée, serais-je au courant ? La traçabilité fait généralement écho aux logs du système, qui sont traduisibles en français par journal. Et c’est exactement ce que doit apporter un log : raconter ce qu’il s’est passé. Historiquement, cette notion était absente du trio de tête, car la moins critique d’un point de vue utilisateur. Si OVH perd tous les logs de connexion à votre serveur cloud, cela ne devrait pas vous impacter, et vous ne devriez même pas vous en rendre compte. Par contre, si votre serveur se retrouve compromis durant cette perte de logs, OVH s’expose à de graves sanctions juridiques.

Bien entendu, il n’existe pas de métrique absolue qui puisse définir le degré de confidentialité, d’intégrité, de disponibilité ou de traçabilité pour une donnée. Cependant, il est bon de savoir que ces notions existent, et qu’elles sont généralement utilisables pour des recours légaux par exemple. Sans tomber dans la paranoïa, une attaque peu visible et aussi létale qu’une frappe nucléaire (d’un point de vue informatique) serait une interruption de service, qui mettrait en péril la disponibilité des données.

Une sécurité par tous et pour tous

En effet, le terme sécurité informatique est un peu grandiloquent. Faire l’effort de ne pas choisir le nom de son chien comme mot de passe Facebook, c’est une bonne méthode qui fait directement écho à la sécurité informatique. J’ai quelques fois eu l’occasion d’échanger avec des milieux qui utilisent l’informatique pour leurs besoins professionnels, mais dont la protection de leurs données n’étaient pas le coeur de leurs affaires. L’argument qui revenait souvent pouvait se résumer de la sorte : « Je ne suis pas le responsable informatique de ma société donc mon compte n’a aucun impact s’il est compromis ». Dans un monde parfait, ce constat serait indéniable. Or il est construit sur deux assertions : mon service informatique a une architecture parfaite ET les outils informatiques utilisés ne disposent d’aucune faiblesse.

Mettons de côté les compétences des responsables informatiques pour nous intéresser, ici, aux systèmes d’information. Sauf exception, toute société qui utilise l’informatique pour promouvoir son business utilisera majoritairement un système d’exploitation utilisé par des millions d’autres sociétés. Or, la faible diversité des systèmes d’exploitation grand public implique une très bonne connaissance des attaquants sur ceux-ci. Si une société souhaite prendre conscience de ses lacunes en terme de cybersécurité, celle-ci est en droit de demander un devis pour un test d’intrusion par une entreprise spécialisée. Peu de place au doute avec cette appellation, le but des auditeurs sera ici d’essayer de s’introduire sur le réseau du client, voire d’en prendre le contrôle.

Mais revenons à nos moutons. Le souci majeur des solutions commerciales populaires, c’est qu’elles deviennent rapidement ingérables d’un point de vue atomique. Mettons qu’un utilisateur est créé sur le parc informatique : quelles sont ses relations avec les autres utilisateurs ? Doit-il avoir le droit de se connecter partout ? Avec quelles permissions ? Pour tout réseau, il y aura nécessairement des failles, qu’elles soient causées par des erreurs humaines durant la configuration, ou que l’éventualité n’ait pas été envisagée lors de la conception de l’outil. L’idée principale ici est qu’il n’est pas impossible de passer d’un compte à faibles permissions à un compte administrateur. Il est parfois même envisageable de directement obtenir un compte administrateur pour un attaquant sans existence « utilisateur » sur le réseau. Tout est une question de référentiel. Certes, le compte du stagiaire a peut-être moins d’importance que celui du patron, mais ce serait une erreur de penser que les efforts pour le maintenir sécurisé doivent être moindres.

Quelques bons réflexes à prendre

Loin de moi l’idée d’instaurer un climat de peur, mais je trouve utile de garder à l’esprit que tout vecteur d’infiltration doit être envisagé. Pour vous aider à mieux appréhender les risques liés à la cybersécurité, je vous propose différentes pistes de réflexion qui ne demandent pas de connaissance particulière et qui, je l’espère, pourront vous aider à la maison ou au travail.

Le point zéro sera la maintenance des systèmes à jour. Ce ne sera jamais assez répété, mais les mises à jour n’ont pas été inventées pour ennuyer les hommes. Mieux, une certaine rigueur sur la périodicité des mises à jour est synonyme de pérennité pour l’outil, et donc d’améliorations potentielles de la sécurité. Le PatchTuesday de Microsoft en est une bonne illustration. Smartphones, tablettes, ordinateurs, serveurs, tous sont aptes à recevoir des mises à jour, et quasi aucune excuse ne justifie de conserver des machines avec plusieurs versions de retard. Sachez d’ailleurs qu’une version trop ancienne est l’une des raisons phares qui permettent à un « hacker » de s’infiltrer sur un réseau.

Le premier axe est le site Virustotal. Possédé par Google, le but de Virustotal est d’apporter un regard complet et objectif sur un fichier qui vous semble étrange et potentiellement dangereux. En téléversant votre fichier, Virustotal confrontera ce fichier à plusieurs dizaines d’antivirus et solutions de sécurité pour leur demander leur avis sur la légitimité et la dangerosité du fichier. Ils effectueront différentes vérifications, par exemple identifier si le fichier a déjà été soumis par d’autres internautes ou s’il possède des instructions proches des malwares actuels. Le site est gratuit. Gardez toutefois à l’esprit que Virustotal se réserve le droit de réutiliser ou de partager à son tour le fichier en question, il faut ainsi mieux éviter d’y introduire des fichiers sensibles. De plus, Virustotal n’est pas une solution absolue. Il permet de rapidement identifier les campagnes de « phishing » qui réutilisent souvent les mêmes fichiers malicieux pour les campagnes massives. Si quelqu’un cherche à vous berner personnellement ou votre entreprise, il est concevable que cet attaquant crée lui-même son virus et vous le transmette. Personne d’autre que vous n’aura alors consulté ce fichier et, l’analyse sur Virustotal pourrait s’avérer infructueuse.

Le prochain point concerne les gestionnaires de mots de passe. Ces petits outils permettent de conserver les mots de passe utilisés sur différentes plateformes, ce qui fait gagner un temps considérable, et forcera les plus réticents à ne pas utiliser le même mot de passe partout. La plupart des gestionnaires de mots de passe sont gratuits, certains sont en ligne, d’autres peuvent être utilisés localement sur votre machine. Un aspect crucial est de régulièrement conserver à un autre endroit votre base de données de mots de passe si vous l’utilisez localement. En effet, si votre ordinateur rend subitement l’âme, il serait dommage de perdre l’accès à tous vos mots de passe.

Dernière piste mais pas des moindres, un site que j’utilise beaucoup est Browserling. L’idée est on ne peut plus simple : vous proposez un lien qui vous semble étrange, et Browserling effectue la recherche à votre place. Cela a deux avantages immédiats : vous n’utilisez pas votre propre adresse IP pour contacter le site suspect, et Browserling vous offre une visualisation du site, vous permettant de vous faire une idée sur la légitimité de celui-ci. La version gratuite de Browserling limite la recherche à trois minutes sur un navigateur et un système d’exploitation imposés, mais ce sera bien suffisant pour vous forger une opinion sur le lien qui vous contrarie.

In fine, je n’ai fait qu’effleurer la surface de cet univers qu’est la cybersécurité. En perpétuelle évolution, ce qui est valable et dominant aujourd’hui sera potentiellement désuet demain. Si les technologies sont améliorées chaque jour, elles apportent leurs lots de menaces. Même si la sensibilisation à ces risques me semble trop faible, notamment pendant le parcours scolaire, il est crucial que la cybersécurité soit désormais un enjeu commun. Si la maîtrise de cette discipline est inenvisageable à l’échelle humaine tant les facteurs y sont changeants et complexes, j’espère avoir réussi à vous montrer qu’il est possible de rapidement saisir les tenants et les aboutissants pour conserver un environnement informatique stable et sécurisé sans pour autant être un expert dans ce domaine.

---

Cet article est une republication d’un article paru dans l’édition reliée n° 23-24 de Mag’zine, que vous pouvez toujours aller le lire ici.