Imprimer

Quelques grands risques...

.

Cet entretien a été réalisé par Frédéric Dessort, rédacteur en chef de Midenews, la lettre d'informations de la Mélée Numérique . Il a été publié dans l'édition du 14 octobre 2008. 

Pierre-Yves Bonnetain est consultant en sécurité informatique auprès de sociétés et expert près de la Cour d'Appel de Toulouse. Il est également enseignant intervenant dans le cadre de plusieurs écoles toulousaines (ENSEEIHT, IRIT, UT1).

Il anime par ailleurs ReSIST , le groupe toulousain de l'Observatoire de la Sécurité des Systèmes d'Information et des Réseaux , une association nationale importante du domaine, à vocation technique.

Vous estimez que les clés USB pourraient devenir un nouveau « cheval de troie » utilisé à des fins malveillantes... de quoi est-il question ?

Il existe en fait deux types de clés, les clés classiques et celles qui ont la dénomination « U3 », de plus en plus répandues. A partir de ces dernières, un logiciel espion peut s'installer automatiquement dans le PC. Et l'on peut imaginer que certaines clés USB envoyées aux cadres dirigeants en fin d'année se révèlent être des cadeaux d'entreprise bien empoisonnés...

Comment est-ce possible techniquement ?

Les clés U3 peuvent simuler un CD Rom, et ont donc la faculté de recevoir un logiciel « autorun ». Dès lors, la clé non seulement peut communiquer avec le système d'exploitation, mais peut en devenir partiellement le pilote. D'où la possibilité d'installer un logiciel de manière totalement invisible, y compris pour les antivirus, s'ils sont contournés.
Le logiciel espion peut lire vos mails, capter toutes les frappes de claviers, y compris les mots de passes et numéros de cartes bleues, pour ensuite les envoyer vers un serveur pirate.

On a beaucoup parlé aussi d'une faille importante de l'Internet autour des serveurs « DNS ». De quoi s'agit-il ?

Lorsque vous vous connectez à un site, vous indiquez son nom, www.site.com. Mais ce n'est pas cela qu'utilisent les machines qui, elles, doivent pouvoir repérer le serveur à l'aide d'une adresse IP. Le DNS (Domain Name Service) sert à cela. C'est un système dual : d'un côté des serveurs de noms (ou serveurs de domaines), qui connaissent les informations liées aux domaines pour lesquels ils sont configurés, et de l'autre des solveurs, qui interrogent les serveurs pour obtenir les réponses. Les solveurs font la « résolution » des noms en adresses IP. Au moment où vous tapez l'URL, votre navigateur envoie une requête vers un solveur, qui cherchera la réponse (l'adresse IP du site qui vous intéresse) et vous la retournera.
L'attaque exploite un défaut dans l'authentification des communications entre les solveurs et les serveurs de noms. Concernant ces derniers, c'est le composant dédié à la résolution DNS, autrement appelé le solveur DNS, qui est visé. Ces attaques permettent d'associer une mauvaise adresse IP à un nom comme www.site.com.

Quel impact pour une entreprise ?

C'est le contrôle de votre information qui est en jeu. Vous pensez être en communication avec www.site.com, alors qu'en réalité vous communiquez avec un système sous contrôle des attaquants. Toutes vos connexions peuvent être tracées. Il devient facile de connaître les habitudes de surf, la messagerie, etc. Cette manipulation est aussi une porte d'entrée pour le « Fishing » : vous pourrez être redirigés vers des sites pirates qui ressemblent à ceux que vous avez l'habitude de visiter. Ces faux sites peuvent être des nids de virus, ou simuler un serveur sensible (votre banque, par exemple) pour récupérer vos identifiants de connexion.
C'est également la possibilité de retourner de fausses informations à un cadre qui fait une recherche sur Internet, par exemple sur un concurrent ou un produit. Enfin, ce sont les mails qui peuvent être détournés : ceux-ci passent d'abord par le serveur pirate, y sont enregistrés (et/ou modifiés) pour ensuite être redirigés vers le bon serveur de mails.

Comment y remédier ?

Cette faille a été « patchée » par les éditeurs de logiciels de DNS. Il faut, du côté utilisateur, mettre à jour son serveur/solveur DNS. Le problème peut se poser si vous disposez d'un boîtier "tout en un" : il faut attendre la mise à jour du fournisseur.

Quid de la sécurité des applications Web, dont le nombre progresse fortement ?

Elles sont souvent presque dépourvues de sécurité ! Dans ce cas, il devient facile d'accéder au back office de l'application et ensuite, ce qui est encore plus grave, de pénétrer le système d'information qui y est relié. Un phénomène qui relève plus d'un manque de culture de la sécurité que des compétences techniques des développeurs Web. Un très bon développeur qui n'a pas de culture de la sécurité informatique fera des erreurs. Et je ne dis rien des développements faits un peu rapidement, sans autre contrainte que celle de tenir les délais et le budget. Développer un ensemble logiciel est une chose, développer un ensemble logiciel sécurisé est très différent. Ca ne s'improvise pas. Ces remarques ne sont d'ailleurs pas spécifiques aux applications Web.

Quelles sont les principales failles techniques dans ces développements ?

C'est surtout une question d'état d'esprit. Les développeurs ne conçoivent pas que l'application sur laquelle ils travaillent puisse être attaquée, et ne mettent donc en oeuvre aucune protection. Faute d'un état d'esprit approprié lors de la définition de l'architecture du système, lors de son développement, et pour son installation et son exploitation, tout, y compris le pire, est possible.
Essentiellement, un programme doit être "très prudent", valider tout ce qui est reçu, disposer de contrôles internes de cohérence, supposer que le pire arrivera (même si on ne sait pas comment il se manifestera) et chercher à y survivre. Cela demande du travail, de la réflexion, de l'anticipation, mais c'est nécessaire pour ne pas dire indispensable.
On trouve encore aujourd'hui des applications dont l'administration à distance se fait sans avoir à donner de mot de passe : dangereux sur un réseau interne, suicidaire si le système est connecté à Internet. On rencontre souvent des applications avec lesquelles un utilisateur peut, très simplement, se connecter sur le compte d'un autre utilisateur. Certains logiciels donnent, sans le vouloir, l'accès complet à la base de données sur laquelle ils s'appuient. Les exemples sont nombreux et très variés, malheureusement.

Propos recueillis par Frédéric Dessort, Mid e-News