Articles IT et Télécoms

Comment se protéger de l’espionnage sur Internet ?

La pérennité de toute entreprise repose sur la protection efficace de ses informations confidentielles. Il devient malheureusement de plus en plus difficile de se prémunir contre les attaques de pirates spécialisés dans l’espionnage économique. Plus seulement réservée aux grands comptes, ces pratiques d’espionnage sont à prendre très au sérieux. Revue des principaux points faibles du système d’information et des garde-fous à mettre en place.

Dans son rapport « La cyberdéfense : un enjeu mondial, une priorité nationale », le sénateur Jean-Marie Bockel s’inquiète de l’ampleur de l’espionnage industriel qui se traduit par des pertes économiques atteignant selon lui de 3 à 5 milliards d’euros par an.

Pendant longtemps, ces menaces concernaient essentiellement les grands comptes. Pour ces grandes entreprises, à l’instar des attaques informatiques « classiques », la lutte contre l’espionnage économique impliquait de mettre en place une surveillance adéquate.

Ces précautions n’ont pas empêché quelques opérations retentissantes. L’entreprise d’équipements de télécommunication Nortel a été victime d’un espionnage généralisé. Au début des années 2000, des pirates ont eu accès à la totalité des documents techniques, financiers et de R & D. Cette intrusion, qui a duré près de dix ans, est considérée comme l’une des principales causes de la faillite de l’entreprise en 2009.

Il serait également naïf de croire que l’espionnage économique ne touche pas les PME.

En 2009, la DCRCI (Direction centrale du Renseignement intérieur) avait indiqué que 3000 entreprises françaises avaient été victimes d’un espionnage économique. Toutes peuvent être visées par une attaque informatique destinée à s’approprier des contenus sensibles.

Les pirates sont à la recherche de données stratégiques pouvant être classées en trois catégories :

  • des informations liées à la recherche et au développement
  • des informations échangées par les dirigeants
  • des résultats financiers et commerciaux : contrats, négociations en cours, etc.

La protection effective des données de l’entreprise nécessite de prendre en compte les nouveaux scénarios d’usage dans lesquels ces données sont exploitées. Il ne s’agit plus de protéger une citadelle contre des assaillants venus de l’extérieur mais de mettre en place les mesures adaptées dans un contexte où les données se déplacent avec les utilisateurs hors les murs de l’entreprise.

Revue de quelques points faibles, parfois inattendus, du système d’information.

Le PC de bureau : les apparences sont (parfois) trompeuses


Les emails et les liens internet piégés : c’est un grand classique indémodable. Malgré les recommandations multipliées à l’envi par tous les experts en sécurité et les DSI, le courrier électronique reste encore le principal vecteur d’attaque. Plusieurs entreprises, et non des moindres, ont ainsi été victimes de vol de données sensibles car un de leurs employés avait ouvert un fichier Excel malveillant qui s’appuyait sur une faille inconnue de Flash.

L’infiltration du système d’information d’une entreprise peut aussi passer par une méthode similaire : un lien vers des sites malveillants ou contrôlés à l’insu de leurs administrateurs par des pirates.

Les documents bureautiques : l’exploitation du courrier électronique démontre que les fichiers bureautiques peuvent cacher des codes malveillants. Pour de nombreux collaborateurs, ce genre de documents semble inoffensif. À tort ! Il est en effet possible d’infecter un ordinateur très simplement en plaçant un cheval de Troie (appelé aussi « trojan ») via Office 2010 ou Open Office. Des tests menés par des experts indépendants de l’ESIEA ont constaté que les antivirus ne détectaient aucune menace…

Les faux amis sur les réseaux sociaux : tous les salariés ont au moins un compte sur un réseau social, qu’il soit grand public comme Facebook ou professionnel comme Viadeo et Linkedin. Pour les espions, il est très facile d’entrer en contact avec une cible (une personne travaillant en R&D par exemple) en créant de faux profils et en rejoignant des « groupes » échangeant des informations sur des thématiques particulières. Des spécialistes en espionnage économique ont tous en mémoire des exemples d’ingénieurs racontant sur quel projet ils travaillent ou des cadres un peu trop bavards et révélant tout ce qui se passe dans leur service.

– Les clés USB : banalisés depuis quelques années, ces supports de stockage peuvent représenter une terrible menace pour l’entreprise. Même si les salariés sont régulièrement sensibilisés, il y a toujours des petits curieux qui veulent savoir ce que contient une clé trouvée, par hasard, sur le parking de leur société. Or, une fois inséré dans un PC, ce périphérique peut être à l’origine d’une infection virale ou de l’installation d’un keylogger (logiciel enregistrant les frappes du clavier).

  • Les solutions

Les règles de base : les entreprises doivent installer un antivirus (mis à jour en permanence) sur chaque poste de travail et appliquer tous les correctifs de sécurité disponibles pour les systèmes d’exploitation et les logiciels installés. Attention, tous les anti virus ne se valent pas; certains détectent plus de codes malveillants que d’autres et sont aussi plus difficiles à désactiver par un pirate. Un pare-feu est également indispensable afin de contrôler les flux entrants et sortants. Enfin, la sensibilisation régulière de tous les collaborateurs reste un facteur clé.

– Le sandboxing : ce n’est pas une idée nouvelle, mais elle se révèle être de plus en plus utile dans la lutte contre les APT. L’objectif est de restreindre les actions d’un programme. Les applications sous sandbox spécifient les ressources du système d’exploitation dont elles ont besoin, le sandbox interdisant alors l’accès à toutes les autres ressources. Cette solution est aussi employée par des navigateurs. Google Chrome a été le premier à avoir déployé un tel mécanisme pour isoler efficacement les plug-ins pour navigateur et ainsi l’immuniser contre les attaques s’appuyant sur des extensions. 

Avec Windows 8, le sandboxing débarque dans l’univers de Microsoft. Les Windows Store Apps pour le Windows App Store doivent être mises sous sandbox pour être acceptées dans le magasin, ce qui renforce la sécurité sous Windows tout comme pour la plate-forme de l’iPhone.

Les imprimantes ont de la… mémoire

Ces appareils anodins enregistrent tout et parfois à l’insu de leurs utilisateurs. Ce constat n’est pas récent. En 2004, l’Electronic Frontier Foundation (EFF), association ayant pour mission de protéger la vie privée des Américains, avait réussi à décrypter les données cachées par une imprimante Xerox. Une sécurité demandée par le gouvernement américain afin de retrouver les copieurs de billets, de jaquettes de films, de papiers d’identité, administratifs… Une enquête a ensuite démontré que toutes les autres marques utilisaient ce genre de procédé.

L’autre point faible est leur connexion internet qui n’est pas toujours bien sécurisée. Une simple recherche sur Google permet d’en repérer ! Or, l’an dernier, une faille sur des modèles de chez Samsung permettait de récupérer des documents imprimés. Une autre vulnérabilité, sur des HP, facilitait l’accès au SI de l’entreprise.

  • Les solutions

– Il y a tout d’abord des parades techniques : installation des derniers firmwares de toutes les imprimantes, configuration précise du pare-feu, effacement du disque dur avant le changement d’une imprimante ou de son envoi en SAV.

– Il y a aussi des mesures visant à mieux contrôler l’accès aux tirages papier. Selon une étude de Canon et de BVA, 20 % des salariés ont déjà trouvé des documents confidentiels dans le bac de ces périphériques. Les entreprises peuvent mettre en place un système de carte (avec un code PIN) pour utiliser ce matériel et récupérer les impressions.

Les smartphones : le maillon faible


Diffusé il y a quelques semaines dans l’émission Envoyé spécial, sur France 2, un reportage a impressionné. En quelques minutes, des étudiants en informatique de l’ESIEA ont démontré qu’il était possible de récupérer toutes les données, y compris celles qui sont chiffrées, stockées sur un téléphone mobile. Il suffit de raccorder un petit boîtier, mis au point par le laboratoire de virologie de cette école, au port USB du smartphone pour réussir cet exploit.

  • Les solutions

– Il faut désactiver les connexions Wi-Fi et Bluetooth lorsque l’on ne s’en sert pas et privilégier la 3G.

– Le recours à un VPN (Virtual Private Network) est essentiel pour protéger les liaisons entre le téléphone portable et le SI de l’entreprise.

– Mettre à jour le mobile, installer un antivirus et ne télécharger des applications que sur les plates-formes officielles. Enfin, ne jamais laisser son appareil seul sur une table d’un restaurant.

Accès Wi-Fi : attention aux fausses bornes gratuites

L’apparition des connexions sans fil de type Wi-Fi a facilité le travail de nombreux salariés au bureau ou à l’extérieur (hôtel, salles de conférence…). Mais ces accès, parfois gratuits, sont aussi utilisés pour récupérer des données stockées sur des ordinateurs portables. La technique la plus efficace consiste à mettre en place une fausse borne Wi-Fi gratuite.

Avec un routeur USB Wi-Fi 3G ou une simple application pour smartphone sous Android (comme « Fake Hotspot » qui a été depuis supprimé du Google Play), un pirate peut enregistrer le trafic Wi-Fi de toute une salle et récupérer ainsi les identifiants et mots de passe de toutes les personnes qui s’y connectent. Une autre solution, plus sophistiquée, appelée « sniffing » permet de tout récupérer, y compris des données chiffrées.

  • Les solutions

– Il faut surfer uniquement sur des sites disposant du protocole sécurisé https. Outlook.com, Gmail, Facebook ou encore PayPal ont adopté cette solution.

– Il est possible de vérifier la légitimité d’une borne Wi-Fi en se trompant volontairement d’identifiant ou de mot de passe. Si l’accès n’est pas refusé et qu’un message ne demande pas immédiatement de retaper les coordonnées, c’est qu’il s’agit d’un hotspot pirate mis en place pour tout enregistrer…

– Comme expliqué précédemment pour les smartphones, un réseau virtuel (VPN) reste la meilleure solution.

Les cybercafés et les PC en libre-service

Pirater un cybercafé, ou le PC en libre-service dans un hôtel, est à la portée de tous ! Et le résultat est impressionnant : audits financiers de groupes industriels, un document de la haute Cour de justice européenne, des photocopies d’un avis d’imposition (d’une personne payant 12 000 € d’impôt sur le revenu…), de passeports et de cartes d’identité… Autant de documents permettant de récupérer de précieuses informations sur une entreprise ou pour réaliser de faux papiers ou une usurpation d’identité.

Ces nombreux documents confidentiels (l’équivalent de plusieurs Go de données) ont été récupérés facilement par une équipe du Laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA (École Supérieure d’Informatique Électronique et Automatique) qui a mené une enquête pour le compte de Secalys, un cabinet spécialisé dans l’intelligence économique et la sécurité.

Cette opération a été réalisée à Paris (et dans plusieurs pays européens limitrophes), d’avril à août 2010, dans une cinquantaine de cybercafés et une vingtaine d’hôtels de 3 à 5 étoiles près des gares et aéroports.

  • Les solutions

– N’insérer aucune clé USB et ne transmettre aucun document via cet accès.

– Préférer un accès Wi-Fi sécurisé avec un PC portable parfaitement configuré (VPN, antivirus, pare-feu…).


Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :