Il pourrait être déjà trop tard pour ceux qui sont déjà tombés au combat, mais tous ceux qui n’ont pas encore été victimes de cyber-attaques ont la chance de pouvoir apprendre du malheur des autres. Les actualités sur le piratage informatique ne sont pas là pour nous divertir, elles sont là pour nous avertir, nous effrayer et nous inciter à prendre les bonnes précautions. La cybercriminalité devrait servir de rappel que nous ne pouvons plus nous permettre d’être avides avec nos serveurs, la sauvegarde et le maintien du réseau.
Les leçons en cybersécurité – pas encore gagné
1. Les leçons en cybersécurité – pas encore gagné
On dit qu’« une leçon apprise est une leçon acquise », mais est-ce vraiment le cas concernant la
cybersécurité ? Dans notre article précédent, nous avons parlé du vol de la banque bangladaise
(lire ici) et son manque choquant de sécurité de base. Dès que les détails de l’arnaque ont été publiés
en Février, tout le monde s’est précipité pour pointer du doigt le comment. Comment cela était-ce
possible ? Eh bien, tout simplement, une institution financière avec plus de 5.000 ordinateurs
interconnectés, n’a pas jugé nécessaire d’investir dans un pare-feu. Cette partie est claire. Mais,
malgré le résultat désastreux, personne n’a pris le temps de réfléchir au pourquoi. Pourquoi une
banque internationale n’a pas jugé utile, sinon évident, de protéger son réseau ?
Depuis le début de l’année, les cyberattaques ont prouvé leur capacité à faire d’énormes dégâts
partout. En janvier, un fabricant de pièces d’avion autrichien a également perdu 54 millions $ de la
même façon lorsque des pirates ont ciblé son département des finances. Les entreprises de toutes
formes et tailles sont désormais confrontées à une menace croissante, car les cybercriminels restent
principalement motivés par le gain financier. Que ce soit par des tactiques d’ingénierie sociale ou au
travers de nouveaux logiciels malveillants, les pirates courent après l’argent et des objectifs tels que
la Banque centrale du Bangladesh devraient être en première ligne dans le renforcement de leur
cyberdéfense.
Eteindre le feu dans votre réseau
Un expert du Département des enquêtes criminelles de l’Institut Bangladaise de formation judiciaire à
fait remarquer que le système SWIFT aurait pu être « difficile à pirater s’il y avait un pare-feu » pour
commencer.
Mais qu’est-ce qu’un pare-feu ? Le terme a d’abord été utilisé pour décrire une paroi destinée à
confiner les potentiels incendies dans un bâtiment (anglais : « fire » = feu et « wall » = mur). De la
même manière, un pare-feu en informatique est un logiciel de cybersécurité placé entre le réseau
interne d’une entreprise et l’Internet – un filtre empêchant l’accès indésirable au système d’information
d’une organisation depuis l’extérieur. Il est semblable à un point de contrôle de l’aéroport, à l’exception
qu’il ne contrôle pas vos affaires, juste votre trafic Internet.
2. Lorsqu’il est connecté à l’Internet, vous êtes visible à travers ce qui est communément connu sous le
nom d’un port. Il y a 6 ports principaux que vous êtes susceptible d’utiliser : le port 80 (pour le World
Wide Web), le port 110 (pour le courrier entrant) et le port 25 (pour le courrier sortant), le port 443
(pour le HTTPS), le port 21 (pour ftp) et le port 22 (pour ssh). Un pare-feu efficace est là pour fermer
les ports inutilisés. De cette façon, il permet de prévenir les violations ainsi que de détecter les
attaquants, tout en vous empêchant d’aller « vers le côté obscur » et accéder à des sites non sécurisés
(la tentation est grande, mais vous devez résister).
Peut-il seul marcher à travers les flammes ?
Non. Un pare-feu ne suffit pas. En effet, un ordinateur connecté doit impérativement être protégé par
au moins un pare-feu. Nous disons au moins parce que la réalité est, compte tenu de la dynamique
en évolution de la cybercriminalité de nos jours, même les fournisseurs de pare-feu recommandent la
mise en œuvre de mesures de sécurité supplémentaires par dessus. Le problème ici n’est pas
uniquement en lien aux pirates externes qui pourraient trouver un moyen de contourner la sécurité
(propagation de logiciels malveillants par courrier électronique, par exemple), mais aussi aux
employés internes qui peuvent facilement accéder à des données sensibles sans jamais passer à
travers le pare-feu.
La solution ? Ne prenez pas pour acquis la cybersécurité. Aucune solution est sûre à 100% et ce qui
été révolutionnaire il y a 10 ans est maintenant obsolète. De plus en plus d’entreprises prennent
conscience de la nécessité d’un nouveau paradigme de la sécurité, un système de supervision en
temps réel complété par de l’analytique avancé (voir notre précédent article sur comment « Mettre la
chance de votre côté avec des outils d’analyse de sécurité » ici). Pensez-y comme ça : dans un
aéroport, vous ne pouvez pas vous permettre de compter uniquement sur vos agents pour sécuriser
les différents points de contrôle. Vous devez leur donner des détecteurs de métaux et installer des
caméras de surveillance aussi. De la même façon, le réseau d’une entreprise a également besoin
d’outils supplémentaires pour détecter les menaces inconnues et pour assurer une protection
complète du périmètre.
Difficile, mais pas impossible
La présence d’un pare-feu aurait rendu les choses plus difficiles pour les pirates qui ont attaqué la
banque bangladaise, mais pas impossible. En étudiant les détails techniques de l’attaque (voir le
rapport complet réalisé par BAE Systems ici), il devient clair que le niveau de préparation des pirates
va au-delà exploiter simplement l’existence de la vulnérabilité du réseau. Cependant, si les
représentants de SWIFT avaient conseillé à la banque bangladaise de mettre à niveau ses mesures
de sécurité avant et non après le hold-up de 81 millions $, peut-être n’aurions nous pas cette
discussion.
Le cas de la banque bangladaise et celle de la société autrichienne sont des preuves convaincantes
que les cyber-voleurs augmentent leurs attaques directes sur les systèmes financiers. Cela étant dit,
les organisations qui croient ne pas être concernées par les cyber-attaques ou imperméables à celles
ci, font face à un chemin rocailleux semé d’embûche. Les entreprises qui comptent sur un pare-feu
autonome bloquent la porte d’entrée, mais oublient de fermer à clef les portes de derrière. Le choix d’
« investir » dans une infrastructure de réseau basique et peu coûteuse ne vous portera pas loin jusqu’à
ce que l’ensemble du système s’effondre. Rogner sur les coûts afin de maintenir des revenus en
hausse est le but, mais pas au détriment de votre niveau de sécurité.
3. Quand tout est dit et fait…
Nous envisageons une longue convalescence pour la banque centrale du Bangladesh – saupoudrée
d’une forte dose de formation à la cyber-sensibilisation, accompagnée d’énormes dépenses en outils
de sécurité avancée et d’éléments d’infrastructure et surtout, d’une vaste campagne de relations
publiques difficiles dans un effort de se racheter aux yeux de ses clients.
Il pourrait être déjà trop tard pour ceux qui sont déjà tombés au combat, mais tous ceux qui n’ont pas
encore été victimes de cyber-attaques ont la chance de pouvoir apprendre du malheur des autres.
Les actualités sur le piratage informatique ne sont pas là pour nous divertir, elles sont là pour nous
avertir, nous effrayer et nous inciter à prendre les bonnes précautions. La cybercriminalité devrait
servir de rappel que nous ne pouvons plus nous permettre d’être avides avec nos serveurs, la
sauvegarde et le maintien du réseau. Elle devrait nous enseigner, avec force donc, que l’ère
numérique est une ère de possibilités infinies, où le piratage des millions de dollars d’une banque
internationale n’est plus simplement l’intrigue d’un blockbuster hollywoodien. Soyez attentifs à tout ce
qui se passe autour de vous parce que la cybercriminalité ne se produit plus juste sur grand écran.
Liens :
https://www.reveelium.com/fr/cybersecurity-lessons-not-earned/
https://www.itrust.fr/les-lecons-en-cybersecurite-pas-encore-gagne/