Le « risque » est un concept clé en cybersécurité. Dans ce domaine, on calcule parfois le risque grâce à la formule suivante : A + M + V = risque. Dans cette équation, A désigne l’actif, M la menace et V la vulnérabilité.
Actif : un actif désigne des données sensibles ou ce qui permet d’accéder à ces données. C’est quelque chose qui a de la valeur, par exemple, des informations privées, un appareil ou un composant dans un système.
Menace : la menace, c’est par exemple un(e) hacker malveillant(e), un(e) criminel(le) ou un(e) initié(e) qui vole des informations. Une menace peut également prendre la forme d’un accident, d’une panne technique ou de l’erreur d’un(e) utilisateur/trice susceptible de mettre des données (un « actif ») en péril.
Vulnérabilité : une vulnérabilité est une faille qui peut détruire, endommager ou mettre en danger des données. Dans le domaine des logiciels, une vulnérabilité est généralement une faille dans le code d’un programme (un bogue) ou dans la façon dont le programme révèle des données ou y donne accès.
La famille de normes ISO 27000 relatives à la sécurité de l’information ajoute la notion d’impact à la définition du risque. Évaluer l’impact, c’est classer les risques par ordre de priorité. Par exemple, un risque dont la probabilité est élevée, mais dont l’impact est faible a une importance moindre et se trouve plus bas dans une liste de priorités qui privilégiera plutôt les risques dont la probabilité est plus faible, mais l’impact très élevé. Si l’on ajoute l’impact à la définition, l’équation corrigée V x M x I = risque tient alors compte de cet effet démultiplicateur dans la mesure du risque.
La famille de normes ISO 27000 représente les standards les plus courants utilisés par les entreprises en Europe. Elles décrivent de bonnes pratiques en matière de gestion de la sécurité de l’information, généralement dans le cadre d’un système de gestion de la sécurité de l’information.
La famille de normes ISO 9000 définit un ensemble de standards de garantie et de gestion de la qualité. Elles fournissent un cadre de référence plus large que de nombreuses entreprises s’efforcent d’appliquer.
Faisons un parallèle avec une situation de la vie quotidienne. Un actif est, par exemple, un objet domestique de valeur, comme une nouvelle télévision. Une porte déverrouillée constitue alors une vulnérabilité. La menace se matérialise lorsqu’un(e) criminel(le) tire parti de cette vulnérabilité pour voler votre télévision. Le vol représente ici l’impact.
En ligne, par exemple, cela pourrait correspondre à l’utilisation d’un mot de passe trop simple (la vulnérabilité) pour protéger votre compte Facebook (l’actif) contre une personne qui souhaite s’y connecter pour usurper votre identité (la menace). L’impact ici est la perte de votre compte et des informations qu’il contient.
Dans ces deux cas, le risque n’existe que parce qu’il y a un actif, une vulnérabilité, une menace est un impact.
Il est également bon de garder à l’esprit qu’une vulnérabilité n’est pas nécessairement une faille involontaire – p. ex. une fenêtre laissée ouverte. On peut également créer sciemment des faiblesses : c’est ce que l’on appelle généralement une porte dérobée (backdoor en anglais).
Les différents types de vulnérabilités
Il existe un grand nombre de vulnérabilités qui couvrent un vaste ensemble de cibles et de méthodes. Un contrôle d’accès mal mis en œuvre, des insuffisances dans la gestion des entrées d’information ou encore l’exploitation d’une faiblesse bien connue dans une puce informatique sont autant d’exemples de vulnérabilités. Il n’est pas facile de définir une classification générique de ces vulnérabilités. Les normes ISO 27005 proposent une catégorisation. Les vulnérabilités y sont classifiées en fonction de l’actif (page en anglais).
Matériel
Vulnérabilité à l’humidité ou à la poussière
Vulnérabilité liée au stockage non protégé
Usure qui provoque une défaillance
Surchauffe
Logiciels
Tests insuffisants
Codage non sécurisé
Manque de pistes d’audit (page en anglais)
Défaut de conception
Réseau
Lignes de communication non protégées (pas de chiffrement, mauvais chiffrement)
Architecture de réseau non sécurisée
Personnel
Processus de recrutement inadapté
Sensibilisation à la sécurité insuffisante (page en anglais)
Menace interne
Site physique
Zone exposée aux catastrophes naturelles (inondations, tremblements de terre)
Interruption de la source d’énergie
Organisation
Pas d’audits réguliers
Pas de plans de continuité
Défaut de sécurité
Gardez à l’esprit que les humains sont une source de vulnérabilité étonnamment importante. S’appuyer sur des méthodes comme l’ingénierie sociale (social engineering en anglais) (c’est-à-dire manipuler une personne pour qu’elle vous divulgue des informations) est parfois le meilleur moyen d’accéder à des informations confidentielles ou secrètes. Cette classification illustre aussi que toutes les vulnérabilités ne sont pas causées par une personne qui souhaite les exploiter : certaines sont naturelles. Les tremblements de terre, les inondations et toutes les autres catastrophes naturelles sont susceptibles d’entraîner des pertes qui peuvent être tout aussi préjudiciables que le vol d’informations confidentielles si des procédures de sauvegardes fonctionnelles ne sont pas mises en place.
Lors de ce cours, nous allons évoquer certaines de ces vulnérabilités. Nous ne pourrons cependant pas toutes les aborder, car elles sont bien trop nombreuses et spécifiques. Pour en apprendre plus sur les différents types de vulnérabilités, consultez cet exemple (page en anglais).
Les backdoor ou portes dérobées
D’après Microsoft, une porte dérobée (backdoor en anglais) est « une entrée cachée dans un système informatique qui peut être empruntée pour contourner des mesures de sécurité ».
On peut voir une porte dérobée comme une fenêtre laissée ouverte dans un bâtiment fermé à clé ou un double de clé caché dans un pot de fleurs. Elle vous permet de contourner d’autres mécanismes de sécurisation d’une cible, souvent sans laisser de traces de l’intrusion. Une porte dérobée repose sur le fait que les utilisateurs non autorisés ne la découvriront pas.
Certains services et systèmes sont configurés avec des noms d’utilisateur et des mots de passe par défaut. Si jamais ceux-ci sont laissés tels quels par inadvertance, le système est exposé aux attaques. Ces systèmes diffèrent des comptes administratifs protégés, car les mots de passe de ces derniers ne sont pas rendus publics.
Les portes dérobées ciblant le matériel informatique
Les portes dérobées ne concernent pas uniquement les applications. Elles peuvent être installées sur des composants matériels, comme la carte mère d’un ordinateur.
Les fabricants d’appareils technologiques peuvent également être abusés si leur chaîne d’approvisionnement n’est pas surveillée. Si l’entreprise ne contrôle pas sa chaîne d’approvisionnement de bout en bout, une entité extérieure peut insérer une porte dérobée dans la chaîne sans que le constructeur s’en rende compte. On parle de porte dérobée sur la chaîne d’approvisionnement. Il existe d’ailleurs des cas concrets : la National Security Agency (NSA), aux États-Unis, a déjà installé des portes dérobées en procédant ainsi.
Dans le Digital Defense Report (« rapport sur la défense numérique ») de septembre 2020, Microsoft avance que 7 % de ses notifications de sécurité concernent des attaques de sa chaîne d’approvisionnement.
Les attaques de la chaîne d’approvisionnement ne ciblent pas uniquement le matériel informatique. Porter atteinte aux services d’une entreprise en modifiant les mises à jour des logiciels envoyés aux utilisateurs représente potentiellement une méthode encore plus préjudiciable. Une attaque de ce type a été mise en évidence en décembre 2020. Les services de SolarWinds (une entreprise spécialisée dans la fourniture d’outils de gestion des réseaux) ont été violés et leurs logiciels modifiés pour y introduire une porte dérobée permettant aux attaquants – ou à quiconque sachant où regarder – d’accéder à toutes les entreprises qui avaient installé cette mise à jour. D’après SolarWinds, la mise à jour avait été installée par « près de 18 000 » entreprises.
Parmi ces organisations, on retrouve la plupart des agences gouvernementales étasuniennes et leurs réseaux qui étaient très certainement les cibles réelles de l’attaque. Le département de la Défense des États-Unis faisait notamment partie des victimes. Rien n’est encore sûr, mais l’on pense que l’attaque provenait du groupe russe APT (Cozy Bear).
Le problème des portes dérobées
Les portes dérobées reposent sur le fait que leur existence restera secrète. C’est leur principal problème. C’est ce que l’on appelle la sécurité par l’obscurité. Si des attaquants découvrent la porte dérobée, ils peuvent s’en servir exactement comme les utilisateurs autorisés. Actuellement, les gouvernements et les agences de renseignements pressent les entreprises technologiques d’installer des portes dérobées dans leurs technologies afin que les autorités puissent y accéder dans le cadre des enquêtes criminelles ou prévenir des attaques terroristes. Si ces portes dérobées étaient installées, elles seraient très probablement découvertes par des personnes non habilitées – ce qui poserait des problèmes de confidentialité considérables.
Que faire contre les portes dérobées ?
Se défendre contre l’existence d’une porte dérobée sans être conscient(e) de son existence est très complexe. Vous pouvez toutefois vous assurer de bien changer les identifiants par défaut de vos appareils, notamment ceux des routeurs Wi-Fi. Désactivez également les comptes invités que certains systèmes d’exploitation proposent.
La modélisation de la menace : réfléchir aux risques
Les professionnels de la sécurité utilisent différentes méthodes d’évaluation afin de définir l’étendue d’un risque et de son impact s’il venait à se concrétiser. En cybersécurité, les professionnels parlent souvent de modélisation de la menace. C’est sous cette appellation que l’on regroupe, d’une part, les travaux d’identification et de classification des menaces potentielles et, d’autre part, les mesures de protection des actifs de valeur (p. ex. des données confidentielles ou des biens de propriété intellectuelle).
Le modèle de menace STRIDE, méthodologie développée par Microsoft, est souvent utilisé. STRIDE est l’acronyme des termes suivants :
Spoofing (« parodie ») – usurper l’identité de quelqu’un ou de quelque chose
Tampering (« falsification ») – modifier des données ou du code
Repudiation (« répudiation ») – prétendre n’avoir jamais réalisé une action
Information disclosure (« révélation d’information ») – divulguer des informations à une personne non habilitée
Denial of service (« Déni de service ») – rendre indisponible ou endommager un service pour ses utilisateurs
Elevation of privilege (« élévation des privilèges ») – obtenir de nouvelles habilitations sans pour autant avoir reçu les autorisations adéquates
Ce sont toutes les menaces potentielles que ce modèle considère comme de possibles vecteurs d’attaque. Les vecteurs d’attaque sont les différents processus, data stores (« dépôts de données »), interfaces et trust boundaries (« limites de confiance ») identifiés dans un système. STRIDE fait partie de la modélisation de menace de Microsoft Secure Development Lifecycle (SDL) (« cycle de vie du développement sécurisé »). Pour en savoir plus sur STRIDE (page en anglais).
Sign up to solve exercises
À l’issue du chapitre 1, vous devriez être en mesure :
D’exposer les fondements et la définition de la cybersécurité et d’expliquer pourquoi c’est quelque chose d’important.
D’expliquer ce qu’est un(e) hacker.
De comprendre ce qu’est un « risque » en matière de cybersécurité.
