Une nouvelle fois nous soulignons combien il est simple pour les pirates de déjouer les protections externes des entreprises. « Mais il existe une manière simple de neutraliser leurs codes malveillants », affirme l’expert en sécurité, Fredrik Åhgren.
Cette semaine TV4 Nyheterna a révélé une inefficacité en matière de sécurité IT auprès des autorités et hôpitaux suédois. Un reporter avec une camera cachée s’est rendu à l’accueil et a demandé la permission d’imprimer un document à partir d’une clé USB, ce qui est l’un des artifices typiquement utilisés par les pirates pour essayer d’introduire un code malveillant dans un système.
Le personnel de l’accueil de trois sur neufs des administrations testées a inséré la clé USB dans l’ordinateur et dans les trois grands hôpitaux testés le personnel a accepté également d’introduire la clé USB dans l’ordinateur.
« Les hôpitaux et les administrations sont très préoccupés car ils savent que si la clé USB avait contenu un code malveillant, ce dernier aurait pu s’introduire dans les activités de tous les autres systèmes à partir des ordinateurs de l’accueil », dit Fredrik Åhgren, expert en matière de sécurité et d’identité chez Nexus.
Si un code malveillant est introduit dans les systèmes gérant les dossiers des patients, toute information sensible peut devenir inaccessible ou être détruite par les pirates. De plus, l’introduction de ces codes malveillants dans une machine cœur-poumon artifiels ou dans un couteau gamma (Gamma Knife) pourrait avoir des issues fatales, selon Fredrik Åhgren.
« Il y a quelques années, ce que l’on appelle un ransomware ou rançongiciel a été introduit dans les systèmes d’un grand hôpital aux États Unis et a verrouillé tous les dossiers médicaux des patients. Les pirates ont demandé ensuite plusieurs millions de dollars en échange de la restitution des informations. Il n’est donc pas difficile d’imaginer des terroristes infecter un hôpital avec un code malveillant pour provoquer la mort des gens au lieu de jeter une bombe », dit Fredrik Åhgren.
Mais, il existe plusieurs manières de se protéger des intrusions des pirates et jusque récemment l’approche la plus utilisée était la construction d’un mur virtuel autour du système d’une organisation, selon Fredrik Åhgren.
« Un mur de ce type pouvait par exemple être constitué par un pare-feu et une politique qui, entre autre, empêchait qu’une clé USB inconnue soit introduite dans les ordinateurs des organisations. Mais la plupart d’entre elles s’est rendue compte que ce ne sont pas des protections efficaces contre les intrusions des pirates, mais, au contraire, leur laisseront toujours la possibilité de trouver une voie libre, il faut le savoir ».
Nombreux sont ceux qui conviennent que des mesures doivent être mises en place pour détecter les codes malveillants dès qu’ils sont introduits et agir immédiatement, selon une approche qui est appelée : « détection et réponse ».
« Mais celle-ci n’est pas un traitement miracle non plus, comme elle pourrait le sembler. Il est impossible de trouver tous les codes malveillants car on ne sait pas ce qu’il faut chercher. Probablement, une très grande partie de toutes les organisations est déjà piratée sans qu’elles le sachent. La plupart des pirates ne sont pas là pour tuer, détruire ou faire du chantage, mais simplement dérober vos secrets commerciaux sans que vous vous en aperceviez ».
Cependant, il existe une manière de se protéger des intrusions qui sont aussi efficaces qu’étanches, selon Fredrik Åhgren.
« En créant une liste des programmes ayant le droit d’être exécutés dans un système, on fera en sorte qu’il sera impossible qu’un code malveillant soit exécuté. Vous pourrez introduire toutes les clés USB que vous voudrez avec n’importe quel code malveillant et même imprimer des documents se trouvant sur des clés USB, les codes malveillants ne pourront pas être exécutés par le système car ils ne se trouveront pas sur la liste des logiciels approuvés ».
Cette méthode est appelée « liste blanche des fichiers » (whitelisting) et fonctionne de manière opposée à la « liste noire des codes malveillants » utilisée par les logiciels antivirus.
« Un antivirus dispose d’une longue liste noire de logiciels ne devant pas être exécutés, constamment mise à jour. Mais il est tellement évident qu’elle ne pourra jamais être complète, et que si un pirate sort un code tout à fait nouveau, il n’existe aucun logiciel antivirus au monde capable de vous protéger. C’est bizarre que les gens continuent à acheter des logiciels antivirus ».
Nous n’avons pas de chiffres à disposition sur le nombre d’organisations qui utilisent la méthode de « liste blanche » aujourd’hui, mais selon Fredrik Åhgren une chose est sûre : cette méthode est sous-utilisée.
« En principe, il est possible de créer une liste blanche dans tous les systèmes numériques et c’est peut-être ce que l’on fera dans le futur. Mais avant que cela ne devienne une réalité, il est nécessaire de construire une infrastructure dans laquelle des listes blanches fiables puissent être partagées par les organisations de manière simultanée. Mais dès à présent, 15 à 20 % de tous les systèmes fonctionnent selon des listes blanches »
Les systèmes dans lesquels, selon Fredrik Åhgren, il faudrait créer des listes blanches sont les systèmes critiques ayant des fonctions spécifiques, comme les PC des accueils des hôpitaux, les serveurs qui contiennent les dossiers des patients ou les machines de dialyse.
« Dans de tels systèmes, il n’est pas nécessaire d’enregistrer et d’installer de nombreux logiciels ou d’initier des macros Excel, c’est pour cela que je ne comprends pas du tout pourquoi les listes blanches sont sous-utilisées. Cela peut dépendre de l’idée reçue que cette méthode est chère ou compliquée ».
Fredrik Åhgren croit cependant, que cette méthode progressera bientôt davantage, au fur à mesure que l’Internet des objets se diffusera.
« Les constructeurs automobiles vont se rendre compte que si leurs voitures sont piratées et tombent dans un fossé ou renversent la foule, ce sera pour eux une mauvaise publicité. Et les consommateurs comme les organisations vont commencer à exiger une protection des intrusions dans leurs réfrigérateurs, caméras de surveillance, tondeuses à gazon et machines d’inspection connectés. J’espère seulement que cela se produira avant et pas après qu’un accident vraiment grave ait lieu », dit Fredrik Åhgren.