Module 4, Unité 1 du cours SecNum Académie proposé par l'ANSSI.

On propose ici de compléter nos connaissance en faisant un focus sur la sécurité du poste de travail et les risques du nomadisme, c'est à dire tout ce qui est en rapport avec les déplacements en France comme à l'étranger ainsi que les problématiques liées aux réseaux domestiques et aux objets connectés.

Lors de nos déplacement professionnels et personnels, nous sommes tous emmenés à emporter des documents et des données. Le risque de perte dans une gare, un aéroport, un bus est grandissant. Nous sommes convaincus que ce nouveau module sera utile car peut être sans le savoir vous êtes déjà confronté au quotidien à des risques que vous ne soupçonnez même pas.

Comme vu dans le module précédent, Internet est un espace d'échange très riche mais il est également exposé à de très nombreuses attaques. La plupart d'entre elles peuvent être évitées en adoptant un bon comportement notamment concernant les liens sur lesquels cliquer ou les fichiers à ouvrir.

En revanche d'autres attaques son moins visibles et utilisent des vulnérabilités présentent dans nos systèmes pour s'infiltrer. Mais qu'est ce qu'une vulnérabilité?

D'après la définition de l'AFNOR¹⁾ qui rédige les différentes normes françaises des acteurs sociaux-économiques, il existe cinq classes de vulnérabilités:

• celles portant atteinte aux personnes;
• celles entraînant des dommages sur les bien physiques;
• occasionnant la perte d'informations;
• dommages aux partenariats;
• engendrant des pertes de revenus.

En matière de sécurité des SI, on définit la vulnérabilité comme étant un point faible sur un système ou une défaillance sur une ressource.

Traditionnellement, il s'agit d'un événement qui mène de façon provisoire ou définitive à:

• Une perte de confidentialité comme dans le cadre d'un vol d'une base de données d'adresses électroniques qui serait ensuite divulguée;
• Une perte d'intégrité suite à une modification d'un site Internet par un attaquant;
• La perte de disponibilité d'une ressources dans le cadre d'une attaque par Deni de service.

Concrètement, une vulnérabilité est une faille ou une faiblesse dans la conception, l'exécution ou la gestion d'un SI. Quelles peuvent être les conséquences associées à la présence d'une vulnérabilité?

Les vulnérabilités peuvent avoir un impact plus ou moins grave, durable voir irréversible sur l'état et les fonctions de l'entité ou encore sur l'atteinte des objectifs de l'organisation. En effet, la fuite de données suite à l'exploitation d'une faille de données par exemple peut avoir des conséquences importantes pour une entreprise et nuire à sa réputation.

Certains attaquants ont aujourd'hui une activité très prospère via l'exploitation des failles. Ils tentent ainsi de récupérer de l'argent en faisant croire qu'ils vont supprimer les données volées ou en redonner l'accès à l'utilisateur. Bien entendu les rançons ne doivent pas être payées car elles n'offrent aucune garantie de restitution ou de destruction des données volées.

D'autres attaquant s'attèlent à rechercher des failles informatiques inconnues (0 day) et à mettre à disposition des outils simples pour les exploiter. Il peuvent également revendre leurs découvertes et alimenter un marché noir sur les failles informatiques. Parallèlement aux actions des pirates surnommés “Black Hats” cherchant des failles pour les exploiter, des chercheurs en sécurité informatique (passionnés ou professionnels) surnommés les “White Hats” scrutent également les applications et systèmes afin d'identifier les failles, cependant à l'inverse des pirates, leur objectif est de les remonter aux éditeurs et fabricants afin qu'ils améliorent leurs outils.

Pour se protéger des malveillances dues à l'exploitation de vulnérabilités les fabricants de nos systèmes ou les éditeurs de nos applicatifs adoptent différentes stratégies: Communiquer sur les failles identifiées pour mieux les corriger ou à l'inverse se taire pour espérer que celles-i ne soient pas découvertes.

Certains éditeurs appliquent ainsi ce qu'on désigne “sécurité par l'obscurité”, c'est à dire qu'ils masquent le fonctionnement de leur système afin de ralentir les attaquants.

Mais cette méthode ne permet pas de sécuriser réellement le système ni de vérifier sa sécurité.

Au vue du nombre d'inconnues sur les stratégies de communication et de correction des éditeurs et des fabricants il est important d'être très vigilant en tant qu'utilisateur d'un système. Mais finalement:

• Comment gérer cette part d'inconnu?
• Quelles solutions peuvent être mises en place sur nos postes informatiques?

Découvrons les dans cette unité.

Nous avons vu dans la partie précédente ( Module 3 – Sécurité sur Internet) que nous pouvons éviter de nombreuses attaques en adoptant un bon comportement en ligne, notamment concernant les fichiers à ouvrir.

Cependant, même lors d’une utilisation prudente d’Internet, il reste possible d’avoir affaire à des fichiers corrompus. Ces derniers peuvent alors exploiter des vulnérabilités dans les logiciels utilisés.

• Quels sont les risques associés aux échanges de documents ?
• Quelles solutions peuvent être mises en place sur nos postes informatiques ?
• Quels sont les risques associés à l’utilisation des logiciels ?

Intéressons-nous tout d’abord à la notion de vulnérabilité.

En effet, les personnes cherchant à mieux connaître les systèmes informatiques que nous utilisons tous les jours sont nombreuses.

Il peut s'agir de criminels, d'organisations mafieuses, de services de renseignement mais aussi de chercheurs du domaine privé ou universitaire.

Quel que soit le profil de la personne qui travaille sur cette recherche, une fois qu’une défaillance est détectée dans la sécurité du système, on parle de vulnérabilité.

Dans le cas d’organisations criminelles, cette vulnérabilité est plutôt utilisée pour attaquer le système concerné, tandis que dans le cas des chercheurs, cela conduit plutôt à la corriger.

L’une des premières méthodes utilisées en sécurité a été la sécurité par l'obscurité.

Celle-ci consiste à maintenir un attaquant potentiel dans l'ignorance du fonctionnement interne du système auquel il s'attaque.

En informatique et en électronique, cela consiste à ne pas diffuser le code qui fait fonctionner les logiciels, les spécifications des circuits et à limiter la documentation à comment « faire fonctionner » le système, sans expliquer « comment il fonctionne ».

Ce type de sécurité peut considérablement ralentir un attaquant éventuel, mais il peut également poser plusieurs problèmes :

1. De manière générale, les défaillances de sécurité d'un produit ou d'un système resteront invisibles tant que son développeur ne communiquera pas sur ces défaillances.
2. D'autre part, il est difficile pour les clients ou les chercheurs indépendants en cybersécurité de vérifier les garanties de sécurité offertes par le produit. Le client doit alors se fier à la parole du concepteur qui peut volontairement exagérer la sécurité de ses produits à des fins commerciales.
3. Enfin ce type de sécurité ne fait que ralentir les attaques car aujourd'hui les nombreuses méthodes d'analyse, accessibles tant à des universitaires qu'a des passionnés ou des criminels, permettent de comprendre comment fonctionnent les systèmes électroniques ou informatiques.

Divulgation des découvertes et mise en place de méthodes de protection adaptées.

Le constant de la situation précédente a conduit de nombreux chercheurs en sécurité à privilégier la transparence sur les faiblesses des systèmes informatiques.

C’est-à-dire que lorsque la vulnérabilité ou la défaillance est identifiée, les chercheurs la communiquent sur des sites accessibles publiquement, après avoir informé le concepteur du système au préalable afin que celui-ci puisse la corriger, le plus souvent via une mise à jour de sécurité.

Partout dans le monde, de nombreux CERT ²⁾ ou CSIRT ³⁾ se chargent d’établir une base de données des vulnérabilités et de communiquer sur celles-ci.

Ils ont également pour mission de centraliser les demandes d’assistance, de traiter les alertes, ou encore de diffuser les précautions à prendre pour minimiser les risques d’incident.

Lorsque le correctif est effectué, l’éditeur diffuse ainsi une mise à jour qui est relayée publiquement.

Tout le monde a ainsi la possibilité de mettre à jour son système et d’être protégé.

Cependant, il est important de noter que la divulgation publique de ce type de vulnérabilités a également des conséquences sur la sécurité des systèmes non mis à jour.

En effet, la divulgation publique permet aux utilisateurs d’avoir les informations nécessaires pour se protéger mais en contrepartie elle communique l’ensemble des informations sur la vulnérabilité à des attaquants potentiels.

Il suffit alors à un attaquant d'identifier la version des systèmes qu'il souhaite attaquer et de chercher toutes les vulnérabilités précédemment découvertes sur celle-ci.

Lorsque le système n’a pas été mis à jour, la correction proposée par le distributeur n'est donc pas présente et l'attaque ne peut pas être contrée.

Il est donc nécessaire de profiter des dernières mises à jour dès leur parution.

Comme nous l’avons vu, tout délai peut considérablement augmenter la probabilité d'une attaque efficace.

Parallèlement à cette face visible des vulnérabilités connues, notez qu’il est également possible pour les États, mais aussi pour des groupes mafieux et criminels d'acheter ou de vendre des vulnérabilités inconnues sur des marchés non publics.

Ces vulnérabilités nommées failles 0-day et n'étant alors connues que de leurs acheteurs ne peuvent pas être corrigées par l'éditeur du système concerné tant que celui-ci n'en a pas connaissance.

Comme nous l’avons vu dans l’unité 2 du module 1, une faille 0-day n’est souvent portée à la connaissance du public et de l’éditeur du système qu’après son exploitation.

Des failles 0-day sur des logiciels très connus et très utilisés comme Microsoft Windows ou MacOS valent bien plus cher qu’une faille 0-day sur un logiciel métier peu connu.

Notons qu' en matière de communication sur les vulnérabilités, il n’existe aucune règle qui soit imposée à un éditeur.

Les fabricants de nos systèmes, ou les éditeurs de nos applicatifs adoptent différentes stratégies : communiquer sur les failles identifiées pour mieux les corriger ou se taire en cachant leur défaillance.

Pour résumer ce que nous venons de voir dans cette première partie, il existe deux types de « chercheurs de vulnérabilités » :

• Les « black hats » qui cherchent des failles pour les exploiter à des fins de malveillances ou de profits;
• Les « white hats » qui cherchent des failles pour les remonter aux éditeurs et fabricants afin qu’ils améliorent leurs outils.

Les vulnérabilités ne sont pas rares sur les systèmes et il est important d’être réactif pour appliquer les correctifs dès leur sortie afin de protéger son système.

Les effets de la divulgation d’une vulnérabilité sont à double tranchant. En effet, ils permettront à certains de mettre à jour leur système et de se protéger d’une éventuelle malveillance, mais en parallèle ils permettront à un attaquant de disposer de l’ensemble des informations nécessaires pour exploiter cette vulnérabilité sur les systèmes qui n’auraient pas été mis à jour.

Nous sommes désormais tous convaincus de l'utilité de maintenir les systèmes à jour, il est donc nécessaire d’apprendre comment le faire.

En effet, pour effectuer ces mises à jour en toute sécurité, il faut éviter les pièges que nous tendent les attaquants qui tentent de nous faire installer des programmes malveillants, comme nous l’avons vu dans l’unité 1 du module 3.

Pour commencer cette partie concernant les mises à jour, intéressons-nous à la mise à jour la plus simple, c’est-à-dire celle concernant le système d'exploitation.

Dans le cadre d'un travail en entreprise, il est probable et recommandé que le responsable informatique mette en place un mécanisme de mise à jour unifié.

Cela permet de s'assurer que l'ensemble des machines ait une configuration uniforme.

En revanche, lorsque vous utilisez un ordinateur personnel ou s’il n’existe pas de responsable informatique, il est important de vérifier que les mises à jour système sont assurées :

• Sur un poste Microsoft Windows, il est possible de le vérifier via l'outil « Windows Update »;
• Sur un poste OS X (Apple), utilisez l'outil « Software Update »
• Sur les distributions Linux, vous devez vous référer à la documentation de la distribution en question.

Notez qu'un système d'exploitation a une durée de vie pendant laquelle son éditeur s'engage à le maintenir à jour, à corriger les erreurs, y compris les failles de sécurité dont il a connaissance.

Cependant, pour des raisons économiques, il est impossible de maintenir indéfiniment des systèmes.

Ainsi, sur certains systèmes qui ne sont plus maintenus par leurs éditeurs car trop anciens, de nouvelles failles sont régulièrement découvertes sans pour autant qu’elles soient corrigées.

Comme nous avons pu le voir précédemment dans la première partie, les risques de sécurité sont alors majeurs pour ce type de système.

La mise à jour des systèmes d'exploitation des smartphones en revanche, dépend à la fois du constructeur et des opérateurs de téléphonie.

En effet, celles-ci passent par le cycle suivant : l’éditeur de l’OS fournit le correctif, ensuite le constructeur du téléphone (qui peut être différent par exemple dans le cas des smartphones Android) le valide pour le modèle de téléphone en question, et enfin l'opérateur téléphonique déploie la mise à jour sur le téléphone des clients concernés.

Aujourd’hui de plus en plus d'attaques exploitent les délais importants de mise à jour.

De plus la multiplication du nombre d'appareils concernés rend souvent ces attaques très rentables.

La fréquence des mises à jour du constructeur doit donc être un véritable critère de choix lorsque vous investissez dans un appareil.

Pour conclure cette partie, notez que si les mises à jour de vos appareils ne sont pas directement gérées par le service informatique, il est très fortement recommandé de mettre les appareils à jour de manière automatique.

Les applications pour smartphone quant à elles doivent aussi être mises à jour pour les mêmes raisons que celles vues précédemment.

Pourtant ces mises à jour sont fréquemment ignorées, ou à l’inverse systématiquement acceptées par les utilisateurs.

Notons que ces deux pratiques posent des problèmes de sécurité.

En effet, certains logiciels proposent régulièrement des mises à jour très longues à installer, ce qui peut décourager les utilisateurs de les faire systématiquement lorsque la précédente n’était pas très utile.

À l’inverse, ce type de mise à jour peut être systématiquement accepté par les utilisateurs et inclure des composants supplémentaires et non désirés.

Au sein d'une entreprise, il est là encore recommandé de centraliser les mises à jour afin de s'assurer, comme pour le système, à la fois de leur bon fonctionnement au préalable et d'avoir un système d'information relativement homogène.

Dans ce cas, leur déploiement peut être automatisé.

Si le logiciel est géré par votre service informatique, vous n'avez donc aucune action à faire.

Dans le cas contraire ou chez vous sur vos outils personnels ou encore sur votre smartphone, c'est à vous, utilisateur, de gérer ces mises à jour.

Notez bien qu’ignorer une mise à jour de sécurité rend le poste vulnérable à une faille désormais potentiellement publique.

Soyez attentif aux fausses notifications de mises à jour, car il peut s'agir d'un piège tendu par des attaquants visant à vous faire installer des logiciels malveillants. En effet de nombreux sites web présentent, directement ou via des publicités malveillantes des pages web conçues pour ressembler à des fenêtres classiques vous informant de la nécessité de mettre à jour un logiciel. Ces pages modifiées se chargent ainsi d'installer un logiciel malveillant, comme ceux présentés dans un monde à haut risques.

L'illusion est souvent difficile à repérer, soyez vigilant!

Pour résumer les consignes que nous venons de voir, rappelez-vous que les mises à jour sont essentielles pour la sécurité de nos matériels.

En cas de doute sur une mise à jour, la bonne attitude consiste à lancer soi-même la mise à jour, soit depuis le logiciel lui-même, soit en allant sur le site web de l'éditeur vérifier si une mise à jour est disponible.

Cette information est généralement disponible dans la barre de menu, dans l'onglet Aide, ou « ? ».

Même si les postes informatiques arrivent de nos jours avec de nombreux outils déjà intégrés, il est rare qu'il ne soit pas nécessaire d'installer un ou plusieurs logiciels correspondant aux usages que l'on souhaite faire de son nouvel outil.

Une nouvelle fois, il est recommandé qu'un service informatique soit responsable de l'installation des logiciels des usagers, pour les mêmes raisons que celles détaillées précédemment.

Lorsque cela n'est pas possible ou qu'il s'agit d'un poste personnel, il est recommandé de suivre quelques bonnes pratiques.

Comme nous l’avons vu précédemment, chaque logiciel et chaque système informatique peut régulièrement être concerné par une nouvelle vulnérabilité.

À l'échelle d'un poste personnel, cela représente beaucoup de points d'attaques potentiels à surveiller.

Du point de vue de l'attaquant, cela représente un nombre important de « portes d'entrée » potentielles dans le système.

Il est donc fondamental de limiter ces ouvertures en installant sur son poste uniquement les éléments nécessaires à son utilisation.

En effet, de nombreux logiciels, même non utilisés, peuvent rendre le système plus vulnérable à des attaques.

Si un besoin se présente, il est donc important de vérifier que les outils présents sur le poste ne permettent pas déjà d'y répondre.

Si ce besoin est ponctuel, il peut également être pertinent de supprimer les logiciels installés après leur utilisation afin de réduire la surface d’attaque.

Pour continuer ces bonnes pratiques, il est intéressant de souligner qu’il est fondamental d'obtenir les outils d'installation de sources connues et sûres. Ces sources se situent généralement sur le site web de l'éditeur directement.

Pour obtenir ce type d’outil, il est important de suivre les recommandations de l’unité 2 du module 3 de ce MOOC.

En effet, rappelez-vous que les sources non-officielles se financent souvent par l'ajout d'outils commerciaux partenaires (publicités) ou sont porteurs de programmes malveillants, notamment dans le cas de logiciels piratés.

Dans le cas des smartphones, il est notamment recommandé de ne pas activer le mode « développeur » et d'éviter les magasins d'applications non officiels, où les garanties d'authenticité sont faibles, voire absentes.

Dans ce cas, il est aussi parfois possible, notamment sur Android, de connaître les droits d'accès demandés par l'application.

Si ceux-ci sont excessifs ou sans rapport avec l'usage de l'application, cela doit attirer votre attention et éventuellement vous inciter à trouver une autre solution.

Par exemple, une application « réveil » ne devrait pas vous demander l'accès à vos SMS.

D’autre part, il est important de rappeler que le financement d’un développement logiciel est complexe, surtout sur Internet où la gratuité reste la norme.

Même chez les éditeurs officiels, il est ainsi possible de trouver des partenariats de financement par lesquels le créateur du logiciel s'engage à proposer, en plus de son produit, le produit de son partenaire qui est bien souvent du contenu publicitaire.

Il est donc important d'être vigilant lors de l'installation afin de ne pas cliquer de manière systématique sur le bouton « Suivant » ou « Valider », mais de bien vérifier au préalable les implications de ce que l'on est en train de déposer sur son système et de décocher les cases correspondant à l’installation de logiciels additionnels non désirés.

Pour conclure cette troisième partie, rappelez-vous que les applications à installer sur vos matériels (postes informatiques, tablettes ou smartphones) doivent être choisies soigneusement selon les besoins réels pour mener à bien votre activité et ne pas parasiter vos postes.

Privilégiez les sites des éditeurs officiels et veillez à ne pas installer de programmes supplémentaires inutiles.

1. Limiter les outils présents sur le système;
2. Installer uniquement des exécutables en provenance de sources sûres;
3. Rester vigilant sur le contenu installé.

Pour conclure cette unité consacrée aux applications et aux mises à jour, il est important de rappeler que même si les éditeurs de logiciels et les chercheurs en sécurité (white hats) travaillent régulièrement sur la recherche et la correction de vulnérabilités, les attaquants (black hats) consacrent eux aussi une part importante de leur activité à cette recherche et ce à des fins malveillantes.

Pour se protéger au mieux de ces vulnérabilités, il est nécessaire de faire les mises à jour proposées par les éditeurs au plus vite, si possible dès leur parution, afin de limiter les impacts.

Ne bloquez pas leur installation.

Enfin, restez toujours vigilant lorsque vous installez des applications, privilégiez les sources sûres et chassez l’inutile !

• https://www.ssi.gouv.fr/agence/cybersecurite/ssi-en-france/les-cert-francais/
• https://www.cert.ssi.gouv.fr/