Se prémunir contre les risques de piratage

Publié le

Dossier Oeuvres de plaisantins ou de pirates avertis, les attaques sur Internet peuvent bloquer l'activité d'une entreprise et nuire à son image. Les parades existent. A condition d'adopter une démarche homogène, adaptée aux usages informatiques de chaque entrepr

Se prémunir contre les risques de piratage

Sommaire du dossier

" La Troisième Guerre mondiale est commencée. Elle est électronique. " Cette boutade de Philippe Moras, directeur général d'ISS (société spécialisée dans les outils de détection d'intrusions), caricature à peine la situation à laquelle sont confrontées un nombre croissant d'entreprises. Avec Internet, apparaissent en effet de nouveaux modèles économiques fondés sur l'information et la ... désinformation ! Le vol ou la perte de données ne constituent plus que l'un des aspects de l'acte de piratage. Plus fréquents, les sabotages. Ils visent à nuire à l'image d'une société et peuvent avoir d'énormes incidences sur son activité. Ainsi, l'agence de presse Bloomberg a mis des mois à se remettre d'une contrefaçon sur l'une des pages de son site Web. Pour faire monter le cours des actions, un employé avait purement et simplement annoncé le rachat d'un concurrent. Situation similaire sur les sites de la CIA, agence fédérale américaine d'espionnage, ou, plus près de nous, sur celui de TF1. La chaîne s'est fait pirater sa page d'accueil pendant quelques heures. Et puis, il y a eu bien sûr le raid massif dont ont été récemment victimes les plus grands sites mondiaux, dont celui de Yahoo !, bloqués plusieurs heures par des requêtes intempestives. 70 % des attaques arrivent de l'intérieur Pas de doute, avec Internet, l'interception ou le sabotage de l'information peut avoir des conséquences lourdes pour l'ensemble d'un pays. Le ministère français de l'Intérieur prend très au sérieux le changement d'échelle de l'intelligence économique. Pour sensibiliser les entreprises aux risques de la mondialisation des échanges, il organise à leur in-tention des réunions d'information. Hélas ! pour Jean-Claude Chalumeau, P-DG de la société d'intelligence économique Intelynx, " seules les vingt à trente entreprises réalisant de très grands contrats à l'étranger se sentent vraiment concernées en France ". A tort ! Les raids massifs restent certes des cas isolés qui ciblent principalement les grosses structures, mais les PME ne sont pas à l'abri. D'une part, l'essentiel des attaques arrive de l'intérieur : 70 %, selon le Clusif (Club de la sécurité des systèmes d'information français). " Le meilleur des outils de sécurité ne peut rien contre un piratage interne provenant d'un salarié payé pour voler des informations ", rappelle Alfonso Castro, responsable du marketing applications de Microsoft. D'autre part, changer les tarifs d'un catalogue en ligne constitue un jeu d'enfant. Un pirate n'a plus forcément besoin d'être chevronné techniquement. " Aucun site n'est à l'abri, insiste Philippe Lemaire, responsable marketing et commerce du test intrusif chez CF6, société spécialisée dans le conseil en sécurité. La solution miracle n'existe pas Les attaques peuvent prendre différentes formes : du simple graffiti sur une page Web au détournement de trafic, en passant par la propagation de rumeurs malveillantes ou erronées. " " Avec Internet, le côté technique du piratage a disparu ", explique Théodore-Michel Vrangos, directeur général et cofondateur de la société Cyber Networks, spécialisée dans l'audit et la réalisation de systèmes de sécurité. Désormais, les logiciels de sabotage sont disponibles sur Internet et n'importe qui, ou presque, peut les mettre en oeuvre. Malheureusement, la solution miracle pour parer à tout type d'attaque n'existe pas. La sécurité à 100 % est un leurre. Toutefois, pour se prémunir de l'extérieur comme de l'intérieur, il existe des règles de base qu'il convient d'appliquer à l'ensemble de l'entreprise. La première : établir une liste des informations sensibles, celles auxquelles il convient de veiller comme à la prunelle de ses yeux, et qui, hélas ! ne sont pas toujours les mêmes. Il faut donc veiller à leur mise à jour régulière. La deuxième règle concerne le contrôle d'accès. Diffusion et ouverture des systèmes d'information doivent être strictement limitées aux personnes concernées. Il convient également de mettre en place des systèmes de surveillance des circuits de sortie : photocopies, courriers électroniques, mais aussi sortie physique des personnes de l'enceinte d'une salle ou d'un bâtiment. De plus en plus souvent, l'installation d'un sas de sécurité entre le réseau interne de l'entreprise et l'extérieur s'impose (voir schéma DMZ ci-dessus). Enfin, il faut mettre en place les outils adéquats pour protéger chaque application reliée à Internet. En adoptant une démarche progressive et homogène pour combler toute les failles. Courrier électronique : installer antivirus et filtres Parce que c'est l'application la plus utilisée, la messagerie constitue l'une des portes privilégiées du pirate. De même que la simple navigation sur le Web. Dans la majorité des cas, l'attaque se traduit par les intrusions de virus. Certains, tels le célèbre Melissa, se " contentent " de bloquer toute activité sur un poste de travail. D'autres agissent comme des chevaux de Troie. Inséré dans la pièce jointe d'un message ou dans le script d'une page HTML, le virus se déclenche dès l'ouverture du document. Dans ce cas précis - et à condition que l'" intrus " soit connu -, la parade est simple et peu onéreuse. Il suffit d'installer un logiciel antivirus sur le poste client ou sur le serveur de messagerie (lorsque ce dernier est hébergé à l'intérieur de l'entreprise). Les pirates ne manquent pas d'imagination Complément des antivirus, une nouvelle génération d'outils, destinés à éviter la fuite d'informations ou l'intrusion de données erronées, se concentrent sur l'analyse du contenu du courrier. Des logiciels, tels que Mailsweeper de Content Technologie ou Worldsecure Server de WorldTalk, décryptent les mots contenus dans le corps et les pièces jointes d'un message afin d'en apprécier le sens. Ils peuvent limiter les possibilités de communication en interdisant, par exemple, l'ajout de pièces jointes à certaines personnes ; en bloquant les messages contenant des données confidentielles identifiées à l'aide de mots clés ; en envoyant systématiquement une copie d'un courrier douteux au responsable de la sécurité, et ce à l'insu de l'émetteur. Reste que les pirates ne manquent pas d'imagination et que certains raffinements technologiques jouent en leur faveur. Ainsi, la majorité des clients de messagerie sont aujourd'hui capables de gérer les courriers au format du Web (HTML) sans pour autant être dotés des paramétrages de sécurité des navigateurs. Dès lors, la seule solution pour se protéger d'éventuels virus consiste à désactiver l'option HTML du client de la messagerie. Qu'il s'agisse de sites de commerce électronique ou d'information, l'entreprise doit pouvoir faire en sorte que le site soit ouvert à tout le monde, mais que l'accès soit interdit à un pirate. Plus facile à dire qu'à faire ! Car il faut pouvoir identifier le pirate. Aujourd'hui, trois grandes catégories d'outils permettent de protéger les sites : le pare-feu ou firewall, le proxy et les détecteurs d'intrusion. Les deux premiers luttent contre les attaques externes. Le pare-feu analyse chaque paquet qui transite sur le réseau et vérifie sa conformité avant qu'il n'atteigne les applications. Le proxy, lui, isole le réseau interne en le rendant invisible du monde extérieur. Quant aux outils de détection d'intrusion, ils gèrent à la fois les attaques internes ou externes en fonction de l'endroit où ils sont placés sur le réseau. Ils sont en effet capables de détecter en temps réel toute anomalie en analysant le trafic du réseau et en effectuant une comparaison avec les scénarios d'attaques répertoriées dans leur base de données. En complément de ces outils génériques, des logiciels plus spécifiques surveillent et protègent les pages du Web, tels que March Security System ou Netsecure Sign de Net Secure Software. Leur finalité ? Empêcher les modifications de pages publiées sur Internet. Ils enregistrent une version de la page originale dans leur propre base. Et peuvent ainsi constamment la comparer à la page publique, puis, en cas de modification, alerter le gestionnaire du site. Le produit de la société FactPoint va même plus loin. Il vérifie que la page Web transmise pour lecture à un visiteur est identique à l'empreinte enregistrée dans sa base. Si le contenu diffère, il avertit alors automatiquement le visiteur et l'administrateur du site. Assurer la confidentialité des échanges Qu'il s'agisse d'Intranet ou d'Extranet, la sécurité doit être envisagée au moment même où l'application est conçue. Puis être déployée de manière homogène. Y compris dans les filiales. Attention ! Celles-ci constituent souvent le maillon faible d'une chaîne Intranet. Des saboteurs ont ainsi récemment réussi à s'introduire dans une grande banque en utilisant des chevaux de Troie (forme de virus qui permet de prendre la main sur un ordinateur à distance). Une fois dans la filiale, ils avaient accès au système central de la société. Même scénario dans un grand laboratoire de cosmétique. Celui-ci n'avait pas jugé utile de sécuriser de manière forte l'une de ses filiales commerciales asiatiques qui ne traitait pas de données critiques. Une fois introduits dans la place, les saboteurs ont pu accéder au système central situé en France. " Là où il y a des problèmes de sécurité, il y a souvent des problèmes politiques : filiales trop indépendantes, utilisateurs qui ne se plient pas aux règles, etc., insiste Théodore-Michel Vrangos de Cyber Networks. Or Internet lie l'application au réseau. " Explication : avant, la partie cliente était propriétaire, il fallait un logiciel spécifique pour interroger le système central ; aujourd'hui, le client est universel, c'est le navigateur, et il permet de s'introduire partout. " C'est une faille immense. Elle doit être comblée par des systèmes qui tiennent compte de ce client ", ajoute l'expert. Son conseil : adopter une démarche modulaire qui isole les applications les unes des autres. Pas de doute, le cloisonnement des applications limite les dégâts en cas d'attaque. Mais, dès que les échanges sortent du réseau local de l'entreprise pour transiter sur le réseau public Internet, il est généralement nécessaire de faire appel aux technologies de chiffrement. Dans ce cadre, les VPN (Virtual Private Netowork) ou réseaux privés virtuels se sont progressivement imposés comme la solution la plus efficace. Si leur mise en oeuvre diffère quelque peu d'un fournisseur à l'autre, le principe de base reste le même : ils isolent le trafic entre deux points en créant un canal virtuel, tunnel sécurisé dans lequel les données sont encapsulées et chiffrées. Outre la confidentialité des informations, ils garantissent l'identité de chaque utilisateur en utilisant notamment des certificats standardisés. Envisager de sous-traiter le système de sécurité Antivirus, pare-feu, proxy, VPN..., les solutions de protection pour arriver à un niveau de sécurité optimal sont nombreuses et onéreuses. Elles ne cessent d'évoluer et nécessitent des compétences pointues. De plus, il est indispensable d'avoir une cellule de veille pour suivre les innovations en matière d'attaques. Au final, les factures s'accumulent rapidement. Un investissement lourd qui, somme toute, ne rapporte rien. Pour Philippe Lemaire, responsable du marketing de CF6, " il faut raisonner en termes de non-sécurité : si quelqu'un effectue des modifications malveillantes sur mon site, combien vais-je devoir investir pour compenser la perte d'image ". Et d'ajouter : " La sécurité doit être envisagée de manière globale et homogène. Il vaut mieux procéder par étape en sécurisant progressivement tous les points d'accès plutôt que de mettre le paquet sur une brèche en laissant d'autres portes grandes ouvertes. " La sécurité reste une affaire de spécialiste Face à des technologies où leurs compétences sont réduites et qui requièrent des équipes étoffées pour les gérer, un nombre croissant d'entreprises optent pour la sous-traitance. Pour la société américaine d'études IDC, leurs investissements en architecture de sécurité et autres audits devraient progressivement se déplacer. Cette externalisation croissante des équipements de sécurité n'a nullement échappé aux prestataires spécialisés, qui se disputent ce marché émergent. Ainsi, Integralis Network Systems dispose déjà depuis plus d'un an d'une solution alliant administration à distance, évolution logicielle, exploitation et tests anti-intrusion ; IBM, pour sa part, lance une offre qui couple ses logiciels à ceux de tiers et services de mise en oeuvre et d'exploitation ; enfin, ISS vient de reprendre une société pour héberger les systèmes de sécurité d'une entreprise, offre qu'elle mettra en oeuvre en France via des partenaires. La sécurité est plus que jamais une affaire de spécialistes. Même quand les pirates ne sont que des lycéens facétieux. Le profil des nouveaux pirates LE " CRASHER " est probablement le plus redoutable des saboteurs d'Internet. Malhonnête et vandale, il n'a qu'un seul objectif : détruire. C'est lui, entre autres, qui propage les virus qui infestent Internet et, indirectement, les réseaux locaux. LE " PHREAKER " s'attaque plus particulièrement au téléphone en piratant les réseaux mobiles ou filaires. LE " CRACKER " pirate plus par amour du risque que dans un esprit de vol d'informations, même si, par ailleurs, il est le spécialiste du piratage de codes d'accès des logiciels et autres jeux vidéo. LE " HACKER " pirate par idéologie : défenseur du citoyen face à l'hégémonie économique ou petit génie informatique, il n'en reste pas moins qu'il peut être dangereux sans forcément s'en rendre compte. LES PRINCIPAUX DANGERS Messagerie Virus insérés dans les messages entrants Les solutions : Antivirus. Désactivation des fonctions à risque (pièces jointes, mode HTML, etc.). Fuite d'informations La solution : Logiciels d'analyse et de filtrage automatiques des messages sortants. Espionnage des messages entrants et sortants La solution : Logiciels de chiffrement des messages avec authentification des utilisateurs. Navigation sur le web Virus insérés dans des scripts La solution : Antivirus se greffant sur le navigateur. Site web Publication d'informations erronées concernant la société (modification de pages existantes ou ajout de nouvelles pages) Les solutions : Gestion des droits d'accès à la publication. Logiciels d'analyse qui conservent une empreinte des pages Web originales et génèrent une alerte à la moindre modification. Réseau internet ouvert sur internet Intrusion dans le système d'information Les solutions : Pare-feu pour filtrer les appels entrants, proxy pour isoler le réseau privé du réseau public. Logiciels de détection d'intrusion s'appuyant sur une analyse des applications. Échange de données entre intranet et extranet Piratage des données pendant leur transfert La solution : Chiffrement des données à l'aide de serveurs et d'algorithmes spécifiques, comme le protocole SSL ou les serveurs VPN, et garantir la confidentialité des données pendant leur transfert. La banque OBC sécurise son hébergement Jean-Pierre Doussot, sous-directeur de la banque OBC (groupe ABN Amro) " Vérifier la sécurité offerte par les prestataires d'hébergement " " Une banque se doit de garantir la sécurité et la confidentialité à ses clients selon des règles très strictes. Celles-ci sont tout aussi valables lorsque nous optons pour l'hébergement d'une partie de nos applications. Et tout particulièrement sur Internet, où le problème d'image est important. Pour toutes ces raisons, avant de nous engager, nous avons demandé à une société tierce spécialisée dans le domaine de faire passer à FranceNet notre service d'hébergement, un audit de sécurité de l'installation physique et de la plate-forme logicielle. Le prestataire a joué le jeu et s'est surtout montré très réactif sur les problèmes mineurs que nous avons pu rencontrer. Nous l'avons d'ailleurs prévenu que nous recommencerions régulièrement. Ce type de relation entre hébergeur et hébergé est indispensable. Il rassure. Et c'est le signe d'une bonne collaboration. " QUE FAIRE EN CAS D'ATTAQUE Le point de vue technique Théodore-Michel Vrangos,directeur général et cofondateur de Cyber Networks (SSII spécialisée dans les systèmes de sécurité Internet) " Limiter les dégâts en évitant la propagation " " Le premier réflexe en cas d'attaque ? Garder son sang-froid ! Tout débrancher dans la panique n'est pas forcément la meilleure solution. D'abord, parce que si le pirate a pu venir une fois, il reviendra très certainement ; ensuite, il faut essayer de l'identifier pour porter plainte, ne serait-ce que pour des raisons légales. La meilleure attitude à avoir en cas d'attaque consiste donc, dans un premier temps, à isoler la machine attaquée du réseau local afin d'éviter la propagation d'un virus. Ou à interdire l'accès au système central de l'entreprise dans le cas d'une intrusion. Ensuite, tout bon administrateur de réseau disposant des outils "ad hoc" doit analyser les trames des paquets pour identifier la provenance de l'attaque. S'il s'agit d'un virus, on peut ainsi récupérer la souche pour la transmettre aux laboratoires afin d'obtenir un antivirus. S'il s'agit d'une intrusion, l'en-tête du paquet comprend des indications sur l'adresse IP du pirate, qui, en général, a pris ses précautions pour que cette adresse ne soit pas associée à son identité. Enfin, pour compléter cette identification, il est possible de lancer pendant l'attaque des commandes telles que le "traceroute" afin de pouvoir remonter jusqu'à la machine du pirate. " Le point de vue juridique Hubert Bitan, docteur en droit, expert en informatique, agréé par la Cour de cassation et près la cour d'appel de Paris " Ne rien modifier en attendant le passage d'un huissier " " La preuve étant la rançon du droit, il convient de ne rien modifier, mais d'isoler la machine attaquée en attendant le passage d'un huissier que vous aurez contacté afin de constater les faits allégués. Il serait utile que l'huissier soit accompagné d'un expert pour l'assister. Selon le cas, l'huissier mettra sous scellés le matériel litigieux, ou il fera procéder, avec l'assistance de l'expert, à toutes sauvegardes nécessaires qui seront mises sous scellés et conservées par l'huissier. Ensuite, il convient de porter plainte contre "X". Le juge saisi pourra être amené à nommer un expert judiciaire, à qui seront remis les scellés par l'huissier. Le cas échéant, la mission confiée par le juge à l'expert aura pour but de rechercher toute intervention, et, plus généralement, tous les éléments permettant de mettre en évidence les comportements illicites, voire l'identité de leurs auteurs. " Tradweb joue le cloisonnement Catherine Koste, directrice générale de TradWeb, site de traduction B2B " Cloisonner les applications pour garantir la confidentialité " Le site tradWeb est spécialisé dans les traductions professionnelles : le client remplit un formulaire de renseignements, obtient un devis et passe commande si la facture lui convient. Il transmet alors sur le site les documents à traduire dans le formulaire prévu à cet effet. Une des clés du succès : la mise en place d'un système de sécurité efficace. Pour Catherine Koste : " Certains documents contiennent des informations confidentielles. Il était donc important de rassurer nos clients en optant pour un système qui chiffre les données pendant leur transfert sur le réseau afin de garantir leur confidentialité. Mais qui limite également les risques en interne. Dès que le client introduit des informations sur notre site, la session est basculée en SSL, un protocole qui prévoit le chiffrement des données. Mais, surtout, nous avons mis en place un système interne qui cloisonne la réception et la gestion des documents. C'est le gestionnaire du site qui reçoit tous les documents et les place dans un dossier réservé à l'usage exclusif du traducteur. Le document est lui même protégé par un mot de passe. Enfin, contrairement à la majorité des sites, et pour éviter de devenir la cible de plaisantins, nous n'avons pas cherché à figurer dans les premières réponses des moteurs de recherche. Dans notre activité à vocation professionnelle, ce référencement n'est donc pas indispensable et ne peut qu'attirer l'attention des pirates. " Immostreet blinde son architecture François Dilliers, directeur informatique d'ImmoStreet " Limiter les brèches par une architecture blindée " ImmoStreet est un site immobilier qui propose aux visiteurs de définir l'objet de leurs recherches pour recevoir des offre adaptées. Simple, mais néanmoins efficace, l'architecture du site logé chez France Télécom Hébergement limite considérablement les risques d'intrusions et de malversations. Pour François Dilliers : " Nous avons limité l'accès aux pages à la simple consultation et lecture. Il n'est donc pas possible d'écrire ou de modifier quoi que ce soit sur notre site. La base de données, qui contient des informations sur les profils de nos clients et les offres, a été isolée du serveur Web. Il n'est pas possible d'y accéder directement, seules les requêtes générées par le serveur ont en fait un droit d'accès. Pour mettre à jour notre site, nous concevons une nouvelle version des pages, qui est ensuite répliquée sur le serveur public accessible par Internet. Enfin, côté Internet, le coupe-feu ne laisse passer que les requêtes de type port 80, ce qui limite les communications à la seule interface du serveur Web mis en place. Tout autre type de requête est considéré comme une intrusion et génère automatiquement une alerte. Aujourd'hui, compte tenu de la sensibilité des informations stockées par notre base, cette architecture offre un niveau de sécurité largement suffisant. "

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte