Nous utilisons des témoins à des fins d’analyse du Site Web, de statistiques, de profilage et de reciblage publicitaire. Nous pouvons aussi partager de l’information sur votre utilisation du Site Web avec nos partenaires publicitaires et analytiques. Vous pouvez désactiver les témoins dans les paramètres de votre navigateur à tout moment. Politique de confidentialité .
FERMER X
 Dans Blogue, Fax, FoIP, Sécurité, Technologie

En ce début d’année, nous avons rencontré Sébastien et nous lui avons demandé de partager ses prédictions sur les évènements majeurs à venir en 2019, concernant la sécurité des données.

 

L’Internet des objets : l’ennemie est à l’intérieur

La démonstration de faisabilité a été bien définie et documentée. Ce n’est qu’une question de temps avant que les attaques de l’Internet des objets (IOT) fassent la une de l’actualité.

Alexandru Balan, responsable de la recherche en sécurité chez Bitdefender, a fait une présentation au RSA 2018 sur la manière d’exploiter une simple prise intelligente, ce qui a démontré à quel point les dispositifs IOT représentent un problème dans les systèmes de sécurité de l’information en général, et un danger pour les réseaux domestiques.

Certains considèrent que les périphériques « non informatiques » présentent un risque moins élevé que les ordinateurs, mais cela pourrait changer rapidement au cours des prochains mois. Lors de son étude, Alexandru a réussi à découvrir facilement des millions de prises intelligentes sur Internet en utilisant une API ouverte, puis il a prouvé que telles prises pouvaient être infectées, ce qui permettait aux attaquants de s’établir de manière permanente et de lancer des attaques depuis n’importe quel réseau. C’est le pire des scénarios.

Il ne faut pas juger les dispositifs IOT par leur apparence; ce sont des ordinateurs entièrement opérationnels. Une fois le système infecté, ils contournent les protections de sécurité habituelles, telles que les pare-feu, et permettent aux attaquants de détecter les faiblesses du réseau pour ensuite migrer vers des systèmes contenant des informations précieuses. La plupart des dispositifs IOT exécutent une version de BusyBox, une distribution Linux ciblant les périphériques intégrés.

Le véritable danger de l’IOT n’est donc pas un pirate informatique qui allume ou éteint les lumières, qui donne chaud en plein été, ou qui joue du death metal danois sur un haut-parleur intelligent à 3 heures du matin (référence : épisode eps2.0_unm4sk- pt1.tc de la série télévisée Mr Robot). Le véritable danger est qu’il envahit les réseaux, étant plus vulnérables de l’intérieur que de l’extérieur, particulièrement les réseaux domestiques.

 

Comment réussir un piratage IOT

Imaginons le scénario suivant : une foire commerciale au Gartner IT Symposium, destinée aux cadres informatiques de haut niveau, est organisée par une entreprise fictive. Tous ceux qui donnent leurs cartes professionnelles reçoivent des prises intelligentes en échange. Si les prises intelligentes sont données dans un ordre particulier, il est possible de savoir qui a reçu quelle fiche. Il est fort probable que les personnes utiliseront les prises intelligentes à la maison, ce qui facilite la tâche, car il n’y a généralement pas beaucoup de systèmes de détection d’intrusion (SDI) sur les réseaux domestiques.

Quel est le résultat final? Le PDG ou le responsable informatique d’une entreprise milliardaire peut être attaqué dans le confort de son réseau domestique, grâce à certaines prises intelligentes et à une foire commerciale. Il s’agit d’un scénario d’attaque hypothétique, mais il n’est certainement pas exagéré et il serait assez facile à mettre en œuvre.

 

Quel est le message à retenir?

En réalité, il est difficile de croire que les fabricants des dispositifs IOT solidifieront leurs appareils à 50 $ au point d’être fiables. Des lois comme la loi californienne « Security of Connected Devices » sur la sécurité des appareils connectés vont certainement dans la bonne direction, mais franchement, cela ne change rien aux principes économiques de ces dispositifs bon marché.

La seule solution viable est une approche de tolérance zéro envers ce type de dispositifs. Ils doivent être radicalement éliminés du reste des réseaux, autant au travail qu’à la maison. Les fabricants de réseaux pour le grand public devraient offrir des configurations par défaut, incluant une zone sécurisée exclusivement pour les dispositifs IOT, où ils ne pourront pas être utilisés pour attaquer d’autres ressources de valeur.

Remarque importante : ne jamais installer des caméras intelligentes dans la chambre à coucher.

 

Le prix à payer : la prolifération des cadres de sécurité et des questionnaires

Les cadres et les questionnaires de sécurité existent depuis quelque temps, mais l’année 2018 est un point tournant. L’adoption du Cloud, conjointement à l’intégration de la chaîne d’approvisionnement informatique mondiale multiplie les exigences pour les fournisseurs de programmes de sécurité, mais ne procure malheureusement que peu d’avantages à toutes les parties.

Auparavant, peu de clients exigeaient des certifications de sécurité. Il n’était donc pas si difficile de répondre à leurs exigences. Néanmoins, les temps ont changé et les clients maîtrisent de mieux en mieux les exigences en matière de sécurité pour les fournisseurs de Cloud, ce qui est avantageux pour tous. Les entreprises et l’Internet sont désormais sécuritaires. Le problème réside dans la multiplication des questionnaires et des exigences en matière de sécurité.

 

Toujours les mêmes questions

La plupart des questionnaires de sécurité posent les mêmes questions, mais de manière différente, ce qui impose un lourd fardeau financier aux fournisseurs de Cloud. Un bon exemple est le questionnaire de la Cloud Security Alliance (CAIQ). Nous avons passé plusieurs semaines à le remplir, ainsi qu’à fournir des réponses utiles et des notes détaillées. Il n’est pas concevable de consacrer autant d’efforts à des questionnaires « ad hoc ».

Ce serait dans l’intérêt de toutes les parties d’utiliser un système normalisé de questions-réponses sur la sécurité. Bien sûr, certaines industries peuvent avoir des exigences particulières, mais il devrait être possible de construire une approche modulaire pour que les questionnaires puissent se remplir mutuellement.

 

Un cadre pour chaque problème

Le même problème se manifeste avec les cadres de sécurité. Au cours des 12 derniers mois, il a été demandé de démontrer la conformité avec les normes suivantes : SOC2, HIPAA, RGPD, ISO 27001/27017/27018, NIST 800.53, CSA, HiTrust, PCI-DSS, FedRAMP, CIJS et d’autres qui vont sûrement s’ajouter.

Il est nécessaire de normaliser le secteur des technologies dans un cadre de sécurité mondial unique pouvant être étendu pour répondre aux besoins particuliers des marchés spécifiques.

La certification française des prestataires de services de santé représente un bon exemple sur la manière appropriée d’établir une certification sectorielle, tout en respectant les normes ISO 27001, ISO 20000 et ISO 27018, ainsi que 38 contrôles de sécurité supplémentaires spécifiques à leur secteur. Cette approche est beaucoup plus rationnelle que la méthode de création d’un autre cadre de sécurité aléatoire.

Le monde a besoin d’un cadre de sécurité universel. La norme ISO 27001 et le travail sur le contrôle de sécurité sectoriel, en tant qu’extension du système de base, sont à favoriser. Cela réduirait considérablement les efforts déployés pour répondre à un large éventail de certifications et rendrait le cyberespace plus sécuritaire, ce qui permettrait de consacrer du temps à la sécurisation des ressources d’information au lieu de démontrer sans cesse la même chose.

Je ne retiendrai pas mon souffle pour autant…

 

L’Empire contre le cryptage

Le cryptage est tenu pour acquis, mais en réalité la vie privée et les données sont attaquées, pas par des pirates dangereux, mais par nos propres gouvernements.

Le gouvernement australien, suivant les traces du gouvernement britannique, vient de signer une loi (Telecommunications and Other Legislation Amendment Bill) donnant aux autorités le droit de contraindre les fournisseurs de services Internet à modifier leurs systèmes de protection de données (par exemple, le cryptage) afin d’avoir accès aux données des utilisateurs.

Cela peut sembler raisonnable, mais c’est une boîte de Pandore facile à ouvrir, et très difficile à fermer. Vu le fonctionnement du cryptage, il n’est pas possible de l’affaiblir pour le gouvernement sans l’affaiblir pour toutes les parties adverses. Par exemple, si les entreprises sont obligées de restreindre le cryptage de bout en bout et les meilleurs pratiques de gestion des clés de cryptage afin de permettre au gouvernement d’intercepter les communications, la sécurité est affaiblie pour tout le monde.

Dans la plupart des cas, le meilleur moyen de mettre en place des systèmes de cryptage puissants est de s’assurer que même le fabricant de ce système ne puisse pas le contourner. Si la NSA n’a pas réussi à protéger « EternalBlue », causant ainsi des dommages d’une valeur de plusieurs milliards de dollars dans le monde entier, est-il vraiment possible pour les fournisseurs de services de protéger les données à l’aide des systèmes de cryptage affaiblis?

Mais ce n’est pas tout. Aux États-Unis, le FBI fait pression pour une législation qui obligerait les entreprises de technologie à affaiblir les systèmes de cryptage sur les appareils intelligents, et se bat également devant un tribunal pour forcer Facebook à affaiblir le cryptage de Whatsapp.

Qu’est-ce que les clipper chips, les autorités de séquestre, la porte arrière, la porte principale et le cryptage simplifié ont en commun? Ce sont tous des systèmes nuisibles qui portent atteinte à la vie privée et à la sécurité des citoyens, sans aucun avantage pour la société. Les informations personnelles, les informations relatives aux soins de santé et les informations bancaires doivent être protégées par les meilleurs systèmes de cryptage possible.

Quoi qu’il en soit, il est illusoire de tenter de remettre à zéro 100 ans de progrès en cryptographie. Les parties déterminées pourront développer et utiliser des logiciels de cryptage parfaitement sécurisés, obtenus en dehors des canaux commerciaux habituels, et protéger leurs communications des regards indiscrets des gouvernements. En revanche, les citoyens respectueux de la loi verront leurs activités quotidiennes mises en péril pour un profit minime, voire nul. Le cryptage sera toujours là, malgré les gouvernements. À l’ère d’Internet, il n’y a pas de liberté sans cryptage, comme il n’y a pas de cryptage sans liberté. Les pays limitant l’accès au cryptage en disent long sur l’importance accordée à la liberté et à la protection des citoyens.

L’industrie de la technologie doit continuer à se battre pour nous tous.

 

Entrez de plein pied en 2019

Pour vous aider à faire face aux exigences en matière de sécurité en 2019, XMedius offre des solutions de pointe pour l’échange sécurisé des données qui peuvent renforcer les protections tout en facilitant la conformité aux réglementations sur la protection de la vie privée.

 

PARLEZ À UN EXPERT

 

 

Sébastien Boire-Lavigne, vice-président exécutif et directeur de la technologie de XMedius, joue un rôle déterminant et majeur dans la stratégie technologique de l’entreprise. Parmi les nombreuses réalisations qu’il a menées au sein de XMedius depuis plus de 20 ans, SBL a dirigé le développement de la technologie de pointe de fax sur IP, des platesformes dans le Cloud et de la solution XM SendSecure.

Leave a Comment