FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2010 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
Pirater pour une bonne cause...
Par Adel Melek et Victor Keong
Comment est-il possible de maintenir la sécurité d'un réseau? Eh bien, en apprenant tout ce qu'il y a à savoir sur l'ennemi.
Il est minuit. Sauriez-vous dire qui est en train de se connecter à vos systèmes d'information? Pour un nombre alarmant d'organisations, la réponse est «pas vraiment!» C'est une réponse qui ravit tous les pirates, qu'il s'agisse d'adolescents inconscients cherchant à commettre de petits méfaits ou d'agents de contre-ingérence employés par une société ou un pays étranger.
Selon un sondage mené en 1999 par le Computer Security Institute (CSI), les sources les plus probables d'attaques pirates sont (en ordre descendant d'importance) : les employés mécontents, les pirates indépendants, les concurrents américains, les sociétés étrangères et les gouvernements étrangers. Pleins de ressources et innovateurs, les pirates sont fiers de leur capacité de violer les systèmes de sécurité conçus pour les tenir à l'écart.
Mais, trop souvent, des failles dans les systèmes, des erreurs humaines ou de jugement leur facilitent grandement la tâche. Dans le cadre du sondage mené par le CSI, 91 % des répondants ont affirmé disposer de coupe-feu et, pourtant, 30 % d'entre eux ont indiqué que des personnes de l'extérieur de l'organisation s'étaient introduites dans leur système. Dans environ 9 % des cas, le piratage a aussi entraîné des pertes financières substantielles (123 779 000 $ US en 1999).
À titre de membres du groupe des technologies et de la sécurité du commerce électronique chez Deloitte & Touche s.r.l., nous tentons de bloquer l'action des pirates en utilisant les mêmes techniques qu'eux. Notre travail, en tant que «pirates honnêtes», consiste à repérer et à systématiser les faiblesses qui se cachent dans un réseau ciblé. Nous recommandons ensuite des mesures de protection supplémentaires pour l'information et les processus vitaux. Dans un monde idéal, de telles missions auraient lieu avant que les systèmes de sécurité d'une organisation ne soient infiltrés. Dans la réalité, toutefois, la plupart de nos missions ont lieu après qu'un client a été victime de piratage. La «défiguration» publique d'un site Web est l'un des stratagèmes favoris des pirates, et c'est souvent l'un des premiers signes que des visiteurs non invités ont «trafiqué» le système.
En général, c'est le chef des services financiers, le chef du service de l'information ou le service de vérification interne d'une entreprise qui, à la suite d'une telle découverte, nous demande d'exécuter une mission de «piratage honnête». Avant de se mettre à la tâche, notre équipe passe un temps appréciable avec le client afin de déterminer l'étendue et les limites de la mission. Nous consultons également les représentants juridiques du client afin d'obtenir l'autorisation d'effectuer des contrôles ultérieurs ainsi que d'autres activités touchant les systèmes de l'entreprise. Si le client fait appel aux services de tiers, tels que des fournisseurs d'accès à Internet, nous demandons alors également leur autorisation.
Au moyen d'outils conçus sur mesure pour rechercher les faiblesses d'un réseau, l'équipe tente de démontrer de quelle façon il pourrait y avoir accès non autorisé. Souvent, nous collectionnons des «trophées», simplement pour montrer à quel point notre chasse a été fructueuse. Ces trophées peuvent être tous les comptes de courrier électronique auxquels nous avons pu accéder ou encore des enregistrements de boîtes vocales révélant notre présence. Alors que les vrais pirates prennent soin d'effacer toute trace de leurs interventions non autorisées dans les fichiers journaux, les pirates honnêtes laissent des marques de leur passage comme pièces à conviction.
Les histoires que racontent ces «trophées» sont éloquentes pour les membres des directions générales. Habituellement, elles révèlent des incohérences frappantes ou des lacunes entourant la gestion des ressources informatiques de l'organisation. Voici l'une de ces histoires.
On nous a demandé d'investiguer sur la sécurité des systèmes d'information de Client inc. et de nous assurer que des mesures sont en place pour protéger ses informations et processus vitaux. Client inc., qui est l'une des sociétés de Fortune 500, est une multinationale employant environ 50 000 personnes dans le monde, forte d'une importante présence au Canada. Même si Client inc. ne sait pas exactement dans quelle mesure il y a eu piratage, elle sait qu'il y a eu violation de la sécurité (en raison de graffitis laissés sur son site Web).
L'équipe de D&T effectue d'abord une simulation contrôlée d'attaques pirates pour accéder sans autorisation au réseau de Client inc. Après avoir pénétré dans le «périmètre» du réseau, nous analysons les forces et les faiblesses des barrières de Client inc., qui visent à empêcher les accès non autorisés, et nous recommandons des possibilités d'amélioration.
Comme toujours, les modems et les standards représentent les portes d'entrée de l'information et des systèmes de communication cruciaux de l'entreprise. Nous commençons par effectuer des tests conçus pour accéder au réseau de l'organisation par ces portes d'entrée. Nous effectuons toutes nos tentatives de piratage sans obtenir d'information de l'intérieur de l'entreprise. Nous utilisons plutôt uniquement l'information qui est accessible au public sur Internet ou dans les annuaires téléphoniques. Cette démarche comprend l'utilisation d'informations postées sur divers sites Web et créées par et pour les véritables pirates (qui adorent partager leurs découvertes concernant les points faibles de la sécurité de systèmes précis).
Nous mettons alors en oeuvre la «composition de guerre», une technique automatisée dans laquelle l'automate d'appels compose chaque numéro d'une série déterminée jusqu'à ce qu'il trouve et enregistre les numéros des lignes de modem existantes. Dans ce cas-ci, Client inc. nous a fourni la série de numéros à tester mais, souvent, le pirate n'a pas à chercher plus loin que dans l'annuaire téléphonique. Tout ce dont on a besoin est un «préfixe» de trois chiffres et le premier numéro de poste (généralement, le numéro se terminant par «000», utilisé pour le standard principal). De là, les postes individuels suivent en séquence numérique.
Au cours des deux semaines et demie suivantes, nous composons 25 300 numéros de téléphone appartenant à Client inc. Parmi ceux-ci, 108 numéros sont identifiés comme cibles possibles d'accès non autorisé au réseau de la société, à ses postes de travail et à ses serveurs.
Après avoir identifié les numéros des lignes de modem, nous utilisons des «attaques en force» pour déterminer un code d'utilisateur ou un mot de passe valide. Dans de nombreux cas, de telles attaques ne nécessitent qu'un programme automatisé conçu pour parcourir les gros dictionnaires de mots de passe postés sur les sites Web de pirates. Ces dictionnaires offrent un mélange de préférences locales et de «classiques» tels «maman» et «R2D2» (La Guerre des étoiles et Star Trek ont créé une véritable galaxie de mots de passe).
Les applications «cherchent» jusqu'à ce qu'elles trouvent un mot de passe utilisable pour pénétrer dans le système. Les serveurs Internet qui ne fonctionnent pas par accès commuté, tels que les serveurs du Web et les serveurs de courriel, sont également vulnérables aux «attaques en force». Les intrusions réussies permettent au pirate de modifier le contenu du site Web, de créer et de modifier du courrier électronique, et d'avoir accès à des informations confidentielles. (Pour plus de détails sur les diverses méthodes d'accès utilisées, voir l'Encadré «Cheminement de l'attaque pirate», ci-haut.)
Bien sûr, toutes les simulations ne sont pas automatisées. En fait, la plupart des missions de piratage honnête impliquent de longs moments passés avec une ou plusieurs personnes, assises devant leur ordinateur, à simplement «essayer» différentes possibilités. (Après tout, le «temps» est l'une des armes les plus puissantes des pirates.) Dans le cas qui nous occupe, il nous faudra trois mois pour achever la mission, et une grande partie du travail aura été fait après les heures normales de travail (puisque les véritables pirates aiment souvent mener leurs expériences pendant le «quart de nuit»).
Cela dit, il nous faut une demi-heure pour accéder aux comptes de courriel de 627 employés - y compris les comptes des cadres dirigeants. Nous constatons qu'il y a eu atteinte à l'intégrité du serveur SMTP (courriel) du client. Notre équipe est en mesure d'identifier les noms des utilisateurs sur le serveur au moyen d'un dictionnaire élémentaire de mots de passe. Nous avons reçu l'instruction de ne lire aucun message de courriel ou fichier joint provenant des comptes «atteints», mais il demeure que nous avons accès à ces deux éléments.
Nous découvrons également, sur un réseau longue distance américain, un routeur qui ne possède aucun mot de passe, ce qui représente une porte d'entrée grande ouverte pour les pirates. Et nous trouvons un important défaut de conception dans le coupe-feu de Client inc., qui permet à des tiers non autorisés d'envoyer des messages de courriel tout comme s'ils provenaient de l'intérieur de l'organisation. Certains membres de l'équipe se plaignent que cette mission est trop facile.
Nous passons à la «personnalité publique» de Client inc. sur Internet, c'est-à-dire ses serveurs Web. Une fois de plus, nous constatons qu'il y a eu atteinte à l'intégrité du système. Très facilement, nous sommes en mesure de pénétrer dans le serveur Web de Client inc. en obtenant l'adresse de courriel du webmestre (postée sur la page Web) et en procédant ensuite à une attaque en force pour découvrir son mot de passe. (Au cours d'une mission précédente, le webmestre avait eu la prévenance de choisir le mot «webmestre» comme mot de passe!) Une fois que nous sommes branchés à un serveur Web, il est relativement facile d'accéder à tous les autres serveurs Web.
Les attaques en force révèlent également les faiblesses des systèmes de messagerie vocale. En fait, lorsque nous pénétrons dans le système automatisé de messages, nous sommes en mesure d'en prendre entièrement le contrôle. Nous procédons ainsi : un conseiller de D&T crée une nouvelle boîte vocale, non autorisée. Ensuite, se faisant passer pour un employé, il appelle le service d'assistance, dit qu'il vient de commencer à travailler et qu'il se demande pourquoi il n'a pas encore de compte de boîte vocale. Le service d'assistance, qui met l'accent sur la satisfaction de la clientèle, règle le problème sur-le-champ, sans poser de questions.
Cette mission n'est nullement différente des autres - d'autres sociétés, grandes ou petites, présentent nombre des faiblesses exposées ici. La mise en place de coupe-feu, par exemple, donne souvent aux organisations l'illusion qu'elles ont pris les mesures appropriées pour se protéger des pirates. Mais, étant donné que le coupe-feu crée un point d'entrée unique, il peut représenter le maillon le plus faible d'un système s'il est mal conçu ou s'il n'est pas mis à jour régulièrement.
De même, la lenteur d'une organisation à mettre à jour son système d'exploitation peut entraîner un risque important sur le plan de la sécurité. Les mises à niveau (ou les correctifs) permettent souvent de régler les problèmes de sécurité, mais de nombreuses organisations tardent à les mettre en place. Le problème n'est pas tant d'effectuer les mises à niveau dès que les correctifs sont mis sur le marché, mais plutôt de procéder à des tests pour mesurer les effets du correctif sur les activités existantes. Dans la mission dont il est question, Client inc. n'a pas mis à niveau son système d'exploitation depuis plus de deux ans.
Au cours des trois mois que durent nos tests, nous évaluons également la capacité du personnel de Client inc. à détecter et à enregistrer les manifestations de piratage, et à maintenir le service en cas de défaillance du système.
Les attaques qui résultent en l'incapacité de l'entreprise de fournir un service constituent un autre stratagème favori des pirates. Pensons, par exemple, à un fonds de placement qui fournit des listes de prix de produits de placement sur son site Web. Lorsqu'un pirate décide d'inonder le serveur de demandes de prix, il prive les utilisateurs légitimes de ce service. Dans le cadre d'une mission de piratage honnête, les attaques de ce type aident également à détecter la vulnérabilité des serveurs et des routeurs.
La conception d'une infrastructure technique exceptionnelle ne suffit pas pour assurer la sécurité. La clé pour disposer de systèmes et de réseaux sécuritaires est l'élaboration de politiques et de procédures pouvant régir tous les employés, les processus et la technologie.
Les missions de piratage honnête aboutissent habituellement à la recommandation de mesures d'amélioration. Chez D&T, nous recommandons fréquemment des modifications touchant les aspects suivants : la sensibilisation à la sécurité; les politiques de sécurité à l'intention des administrateurs de systèmes; la capacité de détection des intrusions; les politiques relatives aux mots de passe (et la création aléatoire de mots de passe); le chiffrement; la réaction au piratage et le plan de continuité; l'intégration des produits de sécurité dans les systèmes. Cette liste n'est pas exhaustive.
La sécurité des réseaux est une préoccupation constante, qui est motivée par la complexité et la connectivité des systèmes, et par l'ingéniosité et la ténacité des pirates. À mesure que les systèmes internes et externes deviennent plus intégrés, les risques de pénétration s'accroissent. Et, bien sûr, chaque progrès réalisé sur le plan de la sécurité représente en soi un défi irrésistible pour les pirates informatiques, honnêtes ou non.
V ictor Keong, ACRS, M.B.A., est directeur principal du groupe des technologies et de la sécurité du commerce électronique au cabinet Deloitte & Touche s.r.l. de Toronto.
Adel Melek, ACRS, CPA, est associé au bureau de Deloitte & Touche s.r.l. à Toronto, et supervise la gamme de services Technologies et sécurité du commerce électronique à l'échelle du Canada.
C ette rubrique est dirigée par Deryck Williams, FCA, CMC, de PKF Hill s.r.l. à Toronto
