Avec l’actualité de ce début 2015, la sécurité informatique devient un sujet dont beaucoup de monde parle. Cependant, l’immense majorité des entreprises ne connaissent pas l’étendue des risques liés à la sécurité de leur site. (Par NBS System pour DataSecurityBreach.fr)
Elles ne savent pas, à proprement parler, ce qu’implique le terme de « piratage ». Beaucoup d’entre elles s’imaginent, à tort, être à l’abri car leur site n’est pas très connu, ou qu’il ne contient pas de données sensibles…
Mais ce qu’il faut bien comprendre, c’est que la sécurité concerne tout le monde et que les attaques n’arrivent pas qu’aux autres. Si certaines sont ciblées (par exemple celle de Sony en 2014), la majorité des pirates fonctionnent par pur opportunisme.
On peut faire l’analogie suivante : l’Internet est un gigantesque parking, où chaque site est une voiture. Les personnes mal intentionnées n’ont qu’à passer parmi elles et essayer d’ouvrir les portières pour en trouver une qui ne soit pas fermée afin de la voler. Peu d’entre eux vont utiliser des outils pour cibler une voiture en particulier ; ils n’ont pas besoin de connaissances techniques pour essayer d’ouvrir des portières. Ils voleront toutes les voitures ouvertes à leur disposition, quelle que soient leur marque ou leur prix.
Les pirates informatiques fonctionnent de la même manière. Ils vont passer en revue tous les sites web en espérant trouver une faille sur l’un d’eux pour investir le site.
- Ils n’ont pas nécessairement besoin de compétences techniques.
- Il existe de nombreux outils informatiques (légaux ou non) leur permettant de scanner la toile et de repérer très facilement des vulnérabilités.
- Ils visent large pour être sûrs de toucher le plus de cibles possible.
C’est également pourquoi la taille ou la renommée du site importent peu ; s’il y a une faille sur votre site, il sera piraté un jour ou l’autre.
Il est important que les entreprises se rendent compte qu’on ne peut jamais garantir la sécurité de son site à 100% et encore moins la qualité de son code. En effet, même si le code est écrit par des professionnels très doués, ces derniers sont rarement experts en sécurité et restent, malgré tout, des humains : des êtres faillibles. Il faut donc rester humble ; il n’existe pas de code parfait et tous les développeurs sont voués à faire des erreurs. Par exemple, en 1996, la fusée Ariane a explosé en vol à cause d’une erreur de programmation, autrement dit une erreur de code. C’est la preuve que même l’ESA (Agence Spatiale Européenne), dont les membres sont très compétents et parmi les meilleurs mondiaux, n’est pas infaillible. Votre développeur peut-il se targuer d’avoir le même niveau de compétences ?
Aujourd’hui sur Internet il y a des millions, voire des milliards, de failles existantes et pas encore découvertes ; c’est une certitude ! L’une, voire plusieurs d’entre elles est peut-être sur votre site, ou bien sur l’un de ceux que vous consultez régulièrement… L’enjeu est donc de prendre conscience de cette situation, et de se protéger afin d’éviter les attaques qui, nous le rappelons, peuvent toucher tous les types de sites, et ont des répercussions importantes sur l’image de l’entreprise et ses bénéfices.
- Le piratage, comment ça marche ?
Il peut être très facile d’accéder aux données d’un site web via une faille. Or, accéder aux données, c’est accéder au serveur sur lequel est hébergé le site, c’est-à-dire la machine contenant toutes les informations et ressources utilisées pour le fonctionnement du site. Il existe de très nombreux moyens d’y arriver ; nous allons ici détailler l’un de ces moyens, très simple, appelé l’énumération d’identifiants.
Imaginons le site web « http://www.monsiteweb.com », site web d’une compagnie d’assurance. Pour pouvoir utiliser l’interface, le visiteur doit s’identifier et créer un compte, comprenant ses informations (telles que nom, prénom, adresse, etc…). La base de données lui administrera alors un identifiant : 12345678 par exemple.
Une fois identifié, si le visiteur souhaite modifier son adresse suite à un déménagement, il se rendra sur la page des paramètres de son compte. Dans de nombreux cas, peut-être le vôtre, le site affiche dans son URL l’identifiant du client :
Imaginons maintenant que le visiteur soit un pirate. Grâce à la présence de l’identifiant dans l’URL, il trouvera sur cette page uniquement les informations le concernant ; il comprend donc que pour les autres utilisateurs, le fonctionnement est identique. S’il modifie l’identifiant dans la barre d’adresse, en remplaçant le 8 à la fin par un 9 par exemple, et que le code source du site contient une faille et ne bloque pas sa requête, il aura accès aux informations correspondant au compte n°12345679.
Mais s’il a accès à ce compte, cela signifie qu’il a potentiellement accès à tous les autres comptes et donc à la base de données du site toute entière. Rien qu’avec la barre d’adresse, il est donc possible d’accéder à un serveur et de contourner sa sécurité. Cela peut être aussi simple que cela. Un adolescent aujourd’hui peut avoir les compétences suffisantes pour mettre en œuvre cette attaque ! De nombreux tutoriels existent même sur Youtube permettant à n’importe qui d’acquérir les connaissances de base pour mettre en place des attaques simples de ce genre.
Bien qu’il existe de nombreuses autres techniques plus complexes, celle décrite ci-dessus fait partie d’un grand nombre de méthodes triviales et à la portée de tous…
Il est important de comprendre cela car une fois que le pirate a accès à la machine, il peut élever ses privilèges et obtenir autant de pouvoir que l’administrateur de celle-ci. C’est-à-dire qu’il pourra littéralement faire tout ce qu’il souhaite avec les informations et les ressources à sa disposition. Il existe plusieurs types d’attaques, chacune avec des objectifs et des impacts différents, mais aux conséquences toujours graves.
- Les différents types d’attaque
- Défiguration d’un site web
C’est le type d’attaque le plus visible, même si c’est techniquement le moins dangereux. La défiguration ou défacement de site web (defacing en anglais) consiste à modifier une ou plusieurs pages d’un site, par exemple la page d’accueil, en la remplaçant par une image, du texte…
Ces attaques sont plutôt simples à réaliser et ne nécessitent pas de compétences techniques très développées. Les pirates utilisent simplement un outil scannant les sites un par un et repérant des vulnérabilités afin de les exploiter grossièrement.
En général, la page de remplacement affichée pendant l’attaque contient le nom du pirate et un message. En effet, par ces défigurations les pirates cherchent uniquement leur visibilité. Ils souhaitent faire passer un message en général politique, ou bien veulent de la reconnaissance. Plus de 20 000 sites, dans le cadre de l’opération OpFrance, se sont fait pirater de cette manière. L’opération a commencé le 18 janvier mais aujourd’hui encore, certains sites affectés sont toujours en maintenance. Si ces attaques ne sont pas dangereuses sur le long terme, elles ont un gros impact en termes d’image pour le site attaqué.
- L’exploitation des ressources d’un site web
Les attaques que nous allons décrire dans ce point et les points suivants sont beaucoup plus dangereuses, notamment parce qu’elles ne sont pas facilement repérables par le site attaqué. Si vous subissez une attaque, dans 90% des cas vous en serez informé par un tiers (source : 2012 data breach investigations report, Verizon, 2012) ; ce sont soit les autorités, soit un client, partenaire ou prestataire qui aura été une victime indirecte de l’attaque subie. Cela cause en général une énorme chute de confiance en l’entreprise. C’est d’ailleurs une des raisons pour laquelle, comme montré sur la figure 1 le délai de découverte de plus de la moitié des attaques se compte en mois.
Dans le cas de l’exploitation des ressources d’un site web, tout est dans le titre. Le pirate, ayant gagné accès au serveur du site, va utiliser les ressources de la machine correspondante (processeur, mémoire, bande passante) pour son propre compte. Il pourra cependant rester dans l’anonymat et se prémunir des risques légaux, puisque c’est le site web piraté qui sera légalement responsable des actions effectuées avec ses ressources.
En l’occurrence, le pirate va souvent les revendre, pour plusieurs usages : l’envoi de SPAM, les DoS (attaque par déni de service, empêchant l’accès à un site), le déchiffrement de données et les boutiques fantôme.
Il faut savoir que chaque machine possède une adresse IP qui lui est propre, et que l’on fait correspondre au(x) site(s) web hébergés dessus. Quand trop d’e-mails sont envoyés depuis une machine, celle-ci est « marquée » comme malveillante et les envois sont bloqués. En envoyant les courriers SPAM depuis l’adresse IP du/des sites piratés, l’envoi se fera sans blocage. Ainsi, utiliser l’IP d’une autre machine en achetant ses ressources est un moyen de contourner cela, jusqu’à ce que la/les machine(s) piratée(s) soit elle aussi considérée comme malveillante…
Si cela vous arrive, vous ne pourrez plus envoyer aucun e-mail depuis votre nom de domaine ou votre adresse IP. Votre hébergeur aura également la possibilité de clôturer votre compte.
De plus, légalement, le spamming peut être puni de 5 ans d’emprisonnement et de 300 000 euros d’amende (Article 226-18-1 du Code Pénal).
Dans le cas des DoS, l’utilisation d’une machine infectée permet l’anonymat de la personne ayant commandé une attaque DoS vers une cible tierce, ou de multiplier la puissance de l’attaque en y ajoutant les ressources d’un ou plusieurs autres ordinateurs. Ici, le but est purement lucratif. Là encore, les sanctions légales sont importantes : selon l’article 323-2 du Code Pénal, « le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 75 000 euros d’amende ».
- Le déchiffrement de données ou mots de passe
Il est également possible d’utiliser les ressources du serveur infecté comme puissance de calcul afin de deviner des mots de passe ou déchiffrer des données, via la méthode bruteforce. Il s’agit de faire tester à une machine toutes les combinaisons possibles jusqu’à tomber sur la bonne. Plus le nombre de machines utilisées augmente, plus les ressources sont importantes, et donc plus le temps de résolution sera court. Ici, le but est majoritairement la récupération de données, pour les utiliser ou les revendre (ce type d’attaque sera traité plus tard dans l’article).
Dans les trois cas cités, le but du pirate est de prendre le contrôle d’un maximum de machines pour monnayer ces ressources.
Partie II : La sécurité informatique : un enjeu méconnu et sous-estimé.