9 faits sur la sécurité informatique que les experts souhaitent vous faire savoir

Chaque jour, vous entendez parler des failles de sécurité, des virus et des gangs de pirates maléfiques qui pourraient vous laisser démunis – ou pire, mettre votre pays à genoux. Mais quelle est la vérité sur ces dangers numériques ? Nous avons demandé à des experts en sécurité informatique de séparer les mythes des faits. Voici ce qu’ils ont dit.

1. Avoir un mot de passe difficile peut prévenir la plupart des attaques

Alex Stamos, chef de la sécurité de Facebook a passé la plupart de sa carrière à chercher des failles de sécurité et déterminer comment les attaquants pourraient tenter d’exploiter les failles logicielles. Il a vu les piratages les plus sournois et les plus simples escroqueries d’ingénierie sociale. Et pendant tout ce temps, il a trouvé deux solutions simples pour la grande majorité des utilisateurs : des mots de passe difficiles et l’authentification à deux facteurs.

Stamos dit que le plus gros problème est les médias qui se concentrent sur des histoires de piratages profonds et complexes, laissant les utilisateurs se sentir comme s’ils ne peuvent rien faire pour se défendre. Mais cela est tout simplement faux. Il m’a dit par courriel :

J’ai remarqué beaucoup de nihilisme dans les médias, la sécurité industrielle et le grand public depuis que les révélations de Snowden sont sorties. Cela se traduit généralement par des gens qui pensent : «il n’y a rien que nous pouvons faire pour être en sécurité”. Les utilisateurs ne devraient pas se dissuader de faire face à ce qu’ils peuvent pour se protéger contre les menaces les plus probables.

Les utilisateurs peuvent se protéger contre les menaces les plus probables et les plus néfastes en deux étapes simples :

1) Installer un gestionnaire de mot de passe et l’utiliser pour créer des mots de passe uniques pour chaque service qu’ils utilisent.

2) Activer des options d’authentification à deux facteurs (généralement via SMS) sur leurs comptes de messagerie et de réseaux sociaux.

Ce dernier est particulièrement important puisque les attaquants aiment prendre en charge les comptes de réseaux sociaux et de messageries de millions de personnes et ensuite les utiliser automatiquement pour se tourner vers d’autres comptes ou pour recueillir des données de grandes valeurs appartenant à certains comptes.

Donc, je voudrais vraiment que les médias cessent de répandre l’idée que simplement parce que d’incroyables exploits sont possibles, cela ne signifie pas qu’il n’est pas possible de vous garder en sécurité dans la grande majorité des scénarios.

Adam J. O’Donnell, un ingénieur du groupe Cisco’s Advanced Malware Protection, a amplifié les conseils de base de Stamos :

Oh, et mon conseil pour une personne lambda : Faire de bonnes sauvegardes et les tester. Utilisez une chambre forte de mot de passe et un mot de passe différent sur chaque site.

Yep, avoir un bon mot de passe est facile – et c’est toujours la meilleure chose que vous pouvez faire.

2. Un nouveau dispositif ne signifie pas qu’il est sécuritaire 

Lorsque vous déballez la boîte de votre nouveau téléphone, tablette ou ordinateur portable, il sent comme le plastique neuf et les batteries fonctionnent à merveille. Mais cela ne signifie pas que votre ordinateur n’est pas déjà infecté par des logiciels malveillants et criblé de failles de sécurité.

J’ai entendu cela de la plupart des experts en sécurité que j’ai interviewé. Eleanor Saitta est directeur technique de International Modern Media Institute, et a travaillé pendant plus d’une décennie avec les gouvernements et les entreprises pour conseiller sur les questions de sécurité informatique. Elle croit que l’un des mythes les plus pernicieux sur la sécurité est que les dispositifs commencent leur vie complètement sûr, mais deviennent moins sécurisé au fil du temps. C’est simplement inexacte, surtout quand beaucoup d’appareils sont livrés avec un logiciel publicitaire pré-installé comme Superfish (si vous vous souvenez, Superfish était pré-installé sur de nombreux modèles d’ordinateurs portables Lenovo) :

C’est pourquoi Superfish était une grosse affaire. Ils ont construit une faille de sécurité à l’intérieur du logiciel permettant à beaucoup de personnes d’exploiter la faille.

Quand vous comptez sur un code fourni par quelqu’un d’autre, un service en ligne ou autre que vous ne contrôlez pas, les chances sont bonnes pour ne pas agir dans votre intérêt, car il essaye de vous vendre. Il y a une bonne chance pour qu’il soit déjà détenu ou compromit par d’autres personnes. Et toutes sortes de gens seront capables d’utiliser ce code.

L’autre question, qui a éclaté dans les médias plus tôt cette année avec l’attaque FREAK, est que de nombreuses machines sont pré-installés avec des portes dérobées (backdoor). Ceci est réalisé par la demande du gouvernement, pour rendre plus facile l’application de la loi et la traque des adversaires par les agences de renseignements. Mais malheureusement, les portes dérobées sont également des vulnérabilités de sécurité dont tout le monde peut profiter. Saitta dit :

Je pense qu’une chose vraiment importante à comprendre est que si vous avez construit un système de surveillance à l’intérieur d’un réseau, ou dans un système de chiffrement, tout le monde peut y entrer. Vous avez construit une vulnérabilité dans le système, et bien sûr, vous pouvez contrôler un peu l’accès. Mais à la fin de la journée, une porte dérobée reste une porte dérobée, et tout le monde peut l’utiliser.

3. Même le meilleur logiciel a des failles de sécurité

Beaucoup d’entre nous pensent qu’un bon logiciel peut suffire à être complètement sécurisé. En raison de cette attitude, de nombreux utilisateurs se mettent en colère lorsque les machines ou les services qu’ils utilisent se révèlent être vulnérables aux attaques. Après tout, si nous pouvons concevoir une voiture sûre, pourquoi pas un téléphone sûr ?

Mais Parisa Tabriz m’a dit par courriel que vous ne pouvez pas regarder la sécurité de l’information de cette façon. Tabriz est l’ingénieur qui dirige l’équipe de sécurité de Google Chrome, et elle croit que la sécurité de l’information est plus comme la médecine – un peu d’art et de science – plutôt que de la science pure. C’est parce que notre technologie a été construite par l’homme, et est exploitée par l’homme avec des motivations très peu scientifiques. Elle écrit :

Je pense que la sécurité de l’information est un peu comme la médecine – c’est à la fois de l’art et de la science. C’est peut-être parce que les humains ont construit explicitement la technologie et Internet. Nous supposons que nous devrions être en mesure de les construire parfaitement, mais la complexité de ce que nous avons construit est telle que garantir une sécurité parfaite semble presque impossible. Une garantie comme celle-ci nous obligerait à avoir zéro bugs, et cela signifie que l’économie n’est pas du côté des défenseurs. Les défenseurs doivent s’assurer qu’il n’y a aucuns bugs dans tous les logiciels qu’ils utilisent ou écrivent (typiquement plusieurs millions de lignes de code si vous considérez le système d’exploitation aussi), alors que l’attaquant n’a plus qu’à trouver un bug.

Il y aura toujours des bugs dans le logiciel. Certains sous-ensembles de ces bugs auront un impact sur la sécurité. Le défi est de trouver quels sont ceux auxquels consacrer des ressources pour une résolution, et beaucoup de cela est basé sur les modèles de menaces présumées qui profiteraient probablement au plus les motivations des gens, comme le crime, la surveillance, etc.

Le chercheur en sécurité informatique Lillian Ablon de RAND Corporation m’a envoyé un email pour dire qu’il n’y a tout simplement pas chose comme un système totalement sécurisé. L’objectif pour les défenseurs est de faire des attaques chères, plutôt qu’impossibles :

Avec suffisamment de ressources, il y a toujours un moyen pour un attaquant d’accéder à un système. Vous connaissez peut-être la phrase “c’est une question de quand, pas si,” en relation avec une entreprise qui se fait pirater. Au lieu de cela, l’objectif de la sécurité informatique est de rendre plus coûteux l’objectif des attaquants (en argent, en temps, en ressources, recherche, etc.).

4. Chaque site Web et applications devraient utiliser le HTTPS

Vous avez entendu toutes les rumeurs qu’il y a à entendre au sujet du HTTPS. Il est lent. Il est seulement pour les sites web qui ont besoin d’être ultra-sécurisé. Il ne fonctionne pas vraiment. Tout faux. Peter Eckersley de Electronic Frontier Foundation est un technologue qui a fait des recherches sur l’utilisation du HTTPS depuis plusieurs années, et il travaille sur le projet EFF’s HTTPS Everywhere. Il dit qu’il y a une idée fausse et dangereuse comme quoi de nombreux sites et applications ne nécessitent pas HTTPS. Il envoyé un email pour s’étendre sur ce point :

Une autre idée fausse et importante des webmasters, tels que les journaux ou les réseaux publicitaires, qui pensent “parce que nous ne traitons pas les paiements par carte de crédit, notre site n’a pas besoin d’être HTTPS, ou notre application n’a pas besoin d’utiliser le protocole HTTPS”. Tous les sites sur le Web doivent être HTTPS, parce que sans HTTPS il est facile pour les pirates, les oreilles indiscrètes, ou des programmes de surveillance du gouvernement de voir exactement ce que les gens lisent sur votre site; quelles sont les données que votre application traite; ou même de modifier ou d’altérer ces données avec des moyens malveillants.

Eckersley n’a aucune affiliation avec des entreprises (EFF est à but non lucratif), et n’a donc aucun conflit d’intérêts potentiel en matière de promotion du HTTPS. Il est juste intéressé par la sécurité de l’utilisateur.

5. Le cloud n’est pas sûr – il créé simplement de nouveaux problèmes de sécurité

Tout est “cloud” ces jours. Vous gardez vos emails là, avec vos photos, vos messages instantanés, vos dossiers médicaux, vos documents bancaires, et même votre vie sexuelle. Et c’est en réalité plus sécurisé que ce que vous pensez. Mais il crée de nouveaux problèmes de sécurité que vous pourriez ne pas avoir pensé. Leigh Honeywell, ingénieur en sécurité travaille pour une grande entreprise de cloud computing, et m’a envoyé un email pour expliquer comment le cloud fonctionne vraiment. Elle suggère que vous commenciez à y penser en utilisant une métaphore physique familière :

Votre maison est votre maison, et vous savez exactement quelles mesures de sécurité vous avez prises contre les intrusions – et quels sont les compromis. Avez-vous un système à verrou ? Un système d’alarme ? Y a-t-il des barreaux aux fenêtres, ou avez-vous décidé de ne pas en mettre parce qu’ils nuiraient à votre décoration ?

Ou vivez-vous dans un immeuble où certaines de ces choses sont gérées pour vous ? Peut-être qu’il y a une personne de la sécurité à la réception, ou une carte d’accès par étage. Je vivais une fois dans un bâtiment où vous deviez utiliser votre carte pour accéder à différents étages dans l’ascenseur ! C’était assez ennuyeux, mais certainement plus sûr. Le gardien de sécurité qui reconnait les habitudes des résidents sera potentiellement (mais pas toujours, bien sûr !) capable d’identifier les intrus. Ils ont plus de données que tout propriétaire individuel.

Mettre vos données dans le cloud est un peu comme vivre dans cette résidence sécurisée. En plus bizarre. Honeywell a continué :

Les services du cloud sont capables de corréler les données sur leurs clients, pas seulement regarder les façons dont un individu est ciblé. Vous ne pouvez pas contrôler l’endroit où vos données sont stockées, mais il y a quelqu’un à la réception de ce bâtiment 24/7, et ils regardent les journaux et les habitudes d’utilisation. C’est un peu comme l’immunité de groupe. Beaucoup de choses alertes les défenseurs immédiatement : voici une adresse IP unique connectant un tas de différents comptes, dans un pays complètement différent des habitudes précédentes. Oh, et chacun de ces comptes a reçu hier un fichier particulier – peut-être que le fichier était malveillant ?

Mais s’il s’agit d’une attaque plus ciblée, les signes seront plus subtiles. Lorsque vous essayez de défendre un système de cloud, vous êtes à la recherche d’aiguilles dans des bottes de foin, parce que vous avez tellement de données à traiter. Il y a beaucoup de frénésie autour du “Big Data” et l’apprentissage de la machine en ce moment, mais nous commençons tout juste à gratter la surface pour trouver des empreintes subtiles d’attaquants. Un attaquant confirmé saura comment se déplacer tranquillement et ne pas déclencher les systèmes de détection que vous mettez en place.

En d’autres termes, certaines méthodes d’attaques automatisées deviennent tout à fait évidentes dans un système de cloud. Mais cela devient aussi plus facile à cacher. Honeywell dit que les utilisateurs doivent tenir compte des menaces qui les inquiètent au moment de choisir entre un service de cloud ou un serveur à la maison :

Les services Cloud sont des systèmes beaucoup plus complexes que, par exemple, un disque dur branché sur votre ordinateur, ou un serveur de messagerie en cours d’exécution dans votre placard. Il y a plus d’endroits où les choses peuvent mal tourner. Mais il y a aussi plus de personnes qui les maintiennent. La question à se poser est : est-ce que je ferais les choses d’une meilleure façon moi-même ou est-ce que je laisserais quelqu’un avec plus d’argent et de temps s’en occuper ? J’ai exécuté mon propre serveur de messagerie depuis de nombreuses années, et finalement je suis passé à un service hébergé. Je sais que les gens qui travaillent sur Gmail et Outlook.com et font un bien meilleur travail que je ne l’ai fait. Il y a aussi la différence de temps – l’exécution d’un serveur de messagerie est un travail misérable ! Mais pour certaines personnes, il vaut la peine,  parce que la surveillance de la NSA est vraiment quelque chose qui les inquiètent.

6. Les mises à jour logicielles sont cruciales pour votre protection 

Il y a peu de choses plus gênantes dans la vie que le petit pop-up qui vous rappelle que les mises à jour sont nécessaires. Souvent, vous devez brancher votre appareil, et les mises à jour peuvent prendre beaucoup de temps. Mais elles sont souvent la seule chose qui se dresse entre vous et être possédé par un mauvais gars. O’Donnell de Cisco a déclaré :

Ces messages de mise à jour du logiciel ne sont pas là juste pour vous embêter : La fréquence des mises à jour logicielles est dirigée par les nouvelles fonctionnalités du logiciel et plus en raison de certains défauts logiciel très obscure qu’un attaquant peut exploiter pour prendre le contrôle de votre système. Ces correctifs logiciels résolvent les problèmes qui ont été publiquement identifiés et probablement utilisés dans des attaques à l’état sauvage. Vous ne voulez pas passer des jours sans nettoyer et bander une plaie purulente sur votre bras ? Ne le faites pas à votre ordinateur.

7. Les hackers ne sont pas des criminels

Malgré des décennies pour prouver le contraire, la plupart des gens pensent que les pirates sont maléfiques et ne veulent rien de plus que voler leurs biens numériques. Mais les pirates peuvent porter des chapeaux blancs ainsi que des noirs – et les chapeaux blancs s’introduisent dans les systèmes afin d’y arriver avant les méchants. Une fois que les vulnérabilités ont été identifiées par des pirates, elles peuvent être corrigées. Tabriz de Google Chrome dit simplement :

En outre, les pirates ne sont pas des criminels. Ce n’est pas parce que quelqu’un sait comment exploiter quelque chose, que cela signifie qu’ils vont utiliser cette connaissance pour blesser les gens. Un grand nombre de pirates rendent les choses plus sécurisées.

O’Donnell souligne que nous avons besoin de pirates informatiques parce que le logiciel seul ne peut pas vous protéger. Oui, des programmes antivirus sont un bon début. Mais à la fin vous avez besoin d’experts en sécurité comme des pirates informatiques pour vous défendre contre les adversaires qui sont, après tout, des êtres humains :

La sécurité est moins concernée par les murs du bâtiment mais plus par l’activation des gardes de sécurité. Des outils défensifs seuls ne peuvent pas arrêter un attaquant dévoué et bien financé. Si des personnes mal intentionnées se décident vraiment,elles vont acheter tous les outils de sécurité de la cible pour pouvoir tester leurs attaques contre une version simulée du réseau de la cible. Lutter contre cela nécessite non seulement des bons outils, mais de bonnes personnes qui savent comment utiliser les outils.

Ablon de RAND ajoute que les pirates informatiques sont rarement la menace qu’ils sont supposés être. Au lieu de cela, la menace peut venir de personnes que vous ne soupçonnez pas – et leurs motivations peuvent être beaucoup plus compliqué que le simple vol :

La plupart du temps un employé peut tout aussi bien être une menace, et pourrait mettre une entreprise à ses genoux – intentionnellement ou par inadvertance. En outre, il existe différents types d’acteurs de menaces cybers externes (des cybercriminels, soutenus par l’État, des hacktivistes) avec des motivations et capacités différentes. Par exemple, les cybercriminels qui ont piraté Anthem avaient des motivations et capacités très différentes que ceux des acteurs soutenus par l’État qui ont piraté Sony Pictures Entertainment.

8. Les cyberattaques et le cyberterrorisme sont extrêmement rares

Comme la plupart de mes interlocuteurs experts l’ont dit, votre plus grande menace est quelqu’un faisant irruption dans vos comptes parce que vous avez un mot de passe trop nul. Mais cela n’empêche pas les gens de paniquer sur les «cyberattaques» qui sont mortels. Ablon dit que ces types d’attaques sont incroyablement peu probables :

Oui, il y a des façons de pirater un véhicule à partir de n’importe où dans le monde; Oui, les dispositifs médicaux vitales comme les stimulateurs cardiaques et les pompes à insuline ont souvent des adresses IP ou sont activés par Bluetooth – mais souvent ces types d’attaques nécessitent un accès proche, et les exploits qui sont assez sophistiqués nécessitent du temps pour se développer et se mettre en œuvre. Cela dit, nous ne devons pas ignorer les millions d’appareils connectés (internet des objets) qui augmentent notre surface d’attaque.

Essentiellement, beaucoup de personnes craignent des cyberattaques pour la même raison qu’ils craignent les tueurs en série. Ils sont la menace possible la plus effrayante. Mais ils sont aussi les moins probables.

Quant au cyberterrorisme, Ablon écrit simplement : «le cyberterrorisme (à ce jour) n’existe pas … ce qui est attribué au cyberterrorisme aujourd’hui est plus proche de l’hacktivisme, par exemple, l’accès à Twitter de CENTCOM et l’affichage de la propagande ISIS.”

9. Darknet et Deepweb ne sont pas la même chose

Ablon écrit que l’un des principaux problèmes qu’elle a avec la couverture médiatique de la cybercriminalité est la mauvaise utilisation des termes “Darknet” et “Deepweb.”

Elle explique ce que signifient vraiment les termes :

Le Deepweb se réfère à une partie de l’internet, plus précisément le world wide web (donc tout ce qui commence par www) qui ne sont pas indexées par les moteurs de recherche, donc ne peut pas être accessible par Google. Le Darknet se réfère aux réseaux non “www”, où les utilisateurs peuvent avoir besoin d’un logiciel distinct pour y accéder. Par exemple, Silk Road et de nombreux marchés illicites sont hébergés sur des réseaux Darknet comme I2P et Tor.

Donc s’équiper d’une chambre forte de mot de passe, utiliser deux facteurs d’authentification, visiter uniquement les sites utilisant le protocole HTTPS, et cesser de se préoccuper de cyberattaques super complexes du Darknet. Et rappelez-vous, les pirates sont là pour vous protéger – la plupart du temps, de toute façon.

Source : Gizmodo par Annalee Newitz

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *