Victime d’une attaque informatique, le ministère des Finances annonce un renforcement de sa sécurité. Il n’est cependant pas facile de se protéger des attaques qui profitent des failles humaines, analyse un spécialiste, Stéphane Bortzmeyer. Le ministère de l’économie et des finances a été la cible d’une attaque informatique qui visait des services travaillant à la préparation du sommet du G20. Bercy et l’Agence nationale de la sécurité des systèmes d'information ont livré lundi 7 mars les détails de cette attaque, repérée début janvier. Des documents et des informations ont été dérobés. Leur portée est minimisée par le ministère (lire l'article du Nouvel Obs.com)Comment repérer ce type de piraterie qui utilise la tactique du cheval de Troie? Peut-on s’en protéger ? L’analyse de Stéphane Bortzmeyer, ingénieur informaticien, spécialiste des réseaux et de la sécurité informatique, membre de l’Association française pour le nommage Internet en coopération (Afnic). Sciences et Avenir.fr: Une telle attaque est-elle vraiment inédite?Stéphane Bortzmeyer: C’est difficile à dire, on ne sait pas toujours que des attaques de ce type sont menées. Le fait qu’on le sache peut être lié à un changement de politique de communication ou de politique technique. Si on n’est pas vigilant on ne voit pas forcément qu’un réseau est attaqué. Ce qui est certain c’est qu’il s’agit d’une attaque ciblée, avec un niveau de professionnalisme plus élevé que pour les attaques très larges de type «hameçonnage» [dont l’objectif est généralement de récupérer des données personnelles -mot de passe, codes- à des fins frauduleuses, ndlr]. Quelle a été la méthode utilisée ?C’est la méthode de l’ingénierie sociale, qui profite des failles humaines. On cherche à convaincre l’utilisateur d’une messagerie électronique de cliquer pour ouvrir un document qui contient un logiciel malveillant. Pour gagner la confiance de l’utilisateur, l’attaque utilise une adresse mail usurpée, une technique très connue qui permet dans le cas présent de faire croire à un fonctionnaire de Bercy que le mail vient d’un de ses collègues. Ensuite, il semble que ce soit une faille d’un logiciel Adobe, qui permet de lire les fichiers PDF, qui ait été exploitée au ministère des Finances. Une fois installé, le logiciel malveillant permet de prendre le contrôle de l’ordinateur à distance. Comment peut-on détecter une telle attaque ?Si le logiciel malveillant est bien écrit, sa présence reste invisible : il ne provoque pas de dysfonctionnement, ne ralentit pas la machine. Il peut également être très bien caché sur l’ordinateur lui-même et échapper aux logiciels antivirus. En revanche, il y a une chose qui est forcément visible, c’est le trafic entre la machine infectée et son «maître», l’ordinateur qui la contrôle à distance. C’est en réalisant des audits du réseau qu’on peut déceler un trafic anormal, voire suspect. Pour cela on utilise des programmes espions, les « sniffers », qui écoutent le réseau, un peu comme des écoutes téléphoniques. Sur un serveur, le DNS, le système qui associe les adresses IP aux noms de domaines [exemple 192.135.136.. avec www.ilfait beau.com, ndlr] peut aussi permettre de repérer des requêtes inhabituelles vers des noms de domaines inconnus. En résumé, il faut avoir les yeux bien ouverts !Peut-on remonter la piste de l’attaque en espionnant ainsi le réseau ? C’est très difficile. L’ordinateur qui prend le contrôle est désormais le plus souvent lui-même un serveur piraté, permettant au véritable ‘maître’ de se planquer. Il y a des pays, comme la Chine ou la Corée du Sud (où 100% des utilisateurs sont connectés à haut débit), où beaucoup de machine ne sont pas protégées et où il est facile de recruter des machines pour des attaques pirates. N’importe quelle machine peut servir de relais dans ce cas-là. Ce n’est donc pas parce que l’on remonte à une machine située en Asie à partir du réseau attaqué que la piraterie vient de là.Le ministère des finances annonce un renforcement de sa protection et de sa sécurité informatique après cette attaque. Concrètement, que peut-il faire?Pour contrer les attaques qui utilisent les failles humaines, il faut développer une vraie culture de la sécurité informatique. Mais pour cela il faut beaucoup embêter les gens et pendant longtemps. Ce n’est pas facile. Après une telle attaque, tout le monde sera plus vigilant, comme après un accident de voiture. On fait plus attention les premiers mois… Ce qui serait intéressant c’est de voir dans six mois ce qui se passe. Appliquer toutes les règles de sécurité va à l’encontre de la productivité qu’on demande à une organisation, ministère ou entreprise. Ça ralentit le travail ! il est possible de réduire la circulation de l’information pour éviter les fuites, mais il y a aussi des risques à priver certaines personnes d’une information. Il n’y a guère que dans l’armée qu’une vraie politique de sécurité parvient à s’appliquer !N’y a-t-il pas quelques solutions techniques qui pourraient être mises en place ?Pour éviter que des logiciels malveillants exploitent des failles déjà connues, il faut déjà mettre les logiciels à jour. La dernière alerte sur les vulnérabilités d’Adobe a été publiée le 9 février sur le site de la sécurité informatique du gouvernement. La faille qui a été exploitée pour attaquer Bercy était-elle connue ? Les pirates ont-ils profité d’une faille qui n’était pas encore révélée ? Le problème c’est que les vulnérabilités sont nombreuses sur Windows. On peut arrêter d’utiliser Windows, passer au logiciel libre, et mettre des signatures électroniques dans les mails pour les sécuriser. Si on propose cela, on se heurte à de nombreux blocages idéologiques. Propos recueillis par Cécile Dumas Sciences et Avenir.fr08/03/11Authors: 1586009.jpg

pour en savoir plus...