Archives mensuelles : octobre 2012

Bonjour à tous !
Un nouveau voyage autour du monde de complété. Presqu’un mois sur la route : Moscou > Washington > Colombo > Dubaï > Moscou (pour une demi-journée) > Bruxelles, et de retour à Moscou pour éventuellement travailler à la gestion d’une petite compagnie, appelée Kaspersky Lab !

Pendant le mois, nous avons participé aux évènements suivants…

Bonjour à tous !

Aujourd’hui je veux vous parler du futur : un futur par très glamour avec des cyber-attaques massives visant des installations nucléaires, des centrales électriques, des centres de transport, des structures financières et de télécommunications, ou, ce que nous appelons globalement des installations critiques. Pour vous faire une idée, rappelez-vous du film Die Hard 4 : retour en enfer, où une attaque portée à des infrastructures plongeait le monde entier dans le chaos.

Mais cette fois-ci, John McClane n’est pas là pour résoudre le problème de vulnérabilité des systèmes industriels. Et même si c’était le cas, ses méthodes ne fonctionneraient pas. Cependant, nous sommes en train de travailler sur le développement technologique d’un système d’exploitation fiable qui a pour objectif de protéger ces systèmes IT si critiques, (des systèmes de contrôle industriel (ICS)). Il y a déjà eu quelques rumeurs à ce sujet sur Internet, je pense donc qu’il est temps de lever le rideau (un peu) sur notre projet secret et de partager avec vous ce que nousavons entre nos mains.

Mais, tout d’abord, je vais vous parler un peu des systèmes industriels vulnérables et du réel besoin qu’à le monde de posséder notre approche nouvelle et différente.

Les Systèmes Industriels en total manque de défense…

Bonjour à tous !

En ce moment, si vous n’êtes pas bons en géographie, je vous écris depuis Washington D.C., D.C. faisant référence à District de Columbia. Il existe un autre Washington –l’état fédéral- situé à l’ouest du continent américain et sans les sigles. A part le pays sud-américain, la Colombie, nous avons l’Université de Columbia à New York et Colombo, le détective de la série télévisée amateur de gabardine beige. Et pour que la confusion soit encore plus grande, nous avons Colombo de l’autre côté du globe, la plus grande ville du Sri Lanka (ancien Ceylan) vers laquelle nous nous dirigeons.

Les trois jours à Washington sont passés vraiment très vite, comme dans un film en accéléré, allant d’un évènement à l’autre à travers toute la ville. Et je dis littéralement accéléré comme s’il s’agissait d’un écureuil (pas à Washington D.C.) tournant dans une roue. Totalement différent des écureuils locaux qui se baladent lentement, avec suffisance et solennité comme si les parcs leur appartenaient, non pas comme les bêtes peureuses auxquelles je suis habitué.

Je ne vais pas vous parler de tous les évènements auxquels j’ai assisté car je ne veux pas vous ennuyer – je préviens les organisateurs et les participants : je ne me suis pas du tout ennuyé dans vos évènements. Je ne ferai donc qu’un commentaire sur le Sommet de la Cybersécurité de Billington où j’ai parlé des attaques cybernétiques (si vous voulez davantage de détails à ce sujet, vous pouvez les trouver ici).

Ce fut un vrai plaisir de faire la connaissance de nombreux hauts fonctionnaires au cours de l’évènement, et de débattre avec eux de la cybersécurité et de la lutte contre la « malice informatique » dans le monde. De plus, j’ai été agréablement surpris de voir que beaucoup de ces messieurs dames –desquels dépendent la police des Etats-Unis et par conséquence la sécurité- connaissaient le sujet et, avaient des avis similaires au mien. Ouf, heureusement !

Comme nous avions terminé de travailler, nous avons pu profiter du samedi pour faire un peu de tourisme. Nous nous sommes organisés pour visiter quelques musées : le Musée National d’Histoire Naturelle, avec tous ses mastodontes déterrés et des os de dinosaures peu convaincants. Et le Musée National de l’Air et de l’Espace… Oh oui ! Ceci m’a davantage plu ! Beaucoup de choses intéressantes à voir, du premier aéroplane des frères Wright jusqu’au dernier avion robot : Messerschmitts, des missiles  SS-20 et Pershing, des répliques du Skylab et d’Apollo-Soyouz, etcétéra. J’ai décidé de ne pas prendre de photos car il y en a beaucoup sur Internet. Néanmoins, il vaut mieux le voir in situ, évidemment.

Et jusqu’ici, voilà tout pour les Etats-Unis !

Dans tout juste une douzaine d’années, la communauté informatique souterrainesera passée d’un simple amusement de jeunes voyous(un amusement pour eux, mais pas vraiment pour les victimes) à des cyber-gangs internationaux organisés et sophistiqués, soutenus par les États, aux attaques de menaces persistantes avancées sur  des infrastructures critiques. Il s’agit d’une vraie métamorphose.

Revenons à l’ère du vandalisme, pour diverses raisons les cyber-voyousont essayé d’infecter autant d’ordinateurs que possible, et c’est précisément pour protéger les ordinateurs  de ces attaques massives que le logiciel antivirus traditionnel a été conçu (et a fait un assez bon travail). De nos jours, les nouvelles menaces sont tout simplement l’opposé. La cyber-racaille connaît sur le bout des doigts les technologies d’anti-logiciel-malveillant, et essaye de passer aussi inaperçue que possible, choisissant souvent l’option ciblée – précision exacte – des attaques. Et c’est tout à fait logique depuis la perspective de leur business.

Il est évident que la communauté souterrainea changé; cependant, le paradigme de la sécurité, hélas, reste lui le même : la majorité de sociétés continuent à appliquer des technologies conçues pour des épidémies massives – c’est-à-dire, une protection périmée – pour contrer des menaces modernes. En conséquence, dans le combat contre les logiciels malveillants, les sociétés maintiennent des positions surtout réactives et défensives, et ont toujours un coup de retard sur les agresseurs. Puisqu’aujourd’hui nous faisons face à une augmentation constante des menaces inconnues, pour lesquelles aucun fichier ou des signatures sur le comportement à adopter n’ont été développés, les logiciels antivirus n’arrivent tout simplement pas à les détecter. Au même moyen, la cyber-racaille contemporaine (pour ne pas mentionner la cyber-armée) vérifie méticuleusement à quel point leurs programmes malveillants sont bons en restant inconnus des Anti-Virus. Ce n’est pas bon. Pas bon du tout.

La situation devient davantage paradoxale quand vous découvrez  qu’il existe dans l’arsenal actuel de l’industrie de sécurité suffisamment de concepts alternatifs de protection construits dans les produits – capable d’affronter directement de nouvelles menaces inconnues.

Aujourd’hui,  je vais vous parler d’un tel concept  …

Désormais, dans la sécurité informatique, une société a le choix entre deux postures par défaut en ce qui concerne la sécurité : « l’Autorisation par défaut » – où l’on permet à tout (chaque morceau de logiciel) ce qui est non-explicitement interdit de s’installer sur des ordinateurs; et « le Refus par défaut » – où l’on interdit à tout ce qui est non-explicitement permis (dont j’ai brièvement parlé ici).

Comme vous le devinerez probablement, ces deux postures de sécurité représentent deux positions opposées dans l’équilibre entre l’usabilité et la sécurité. Avec l’Autorisation par Défaut, toutes les applications lancées ont carte blanche pour faire ce qu’elles savent très bien faire sur un ordinateur et/ou un réseau, et AV prend ici le rôle du légendaire garçon hollandais – qui surveillant de près la digue, vit apparaître une fuite, et boucha frénétiquement les trous avec ses doigts (avec des trous de différentes tailles qui (sincèrement) apparaissent régulièrement).

Avec le Refus par Défaut, ce sont les applications opposées auxquelles on empêche par défaut d’être installées, à moins qu’elles ne soient incluses dans la liste de logiciels vérifiés de la société. Aucun trou dans la digue – mais probablement pas un gros volume d’eau qui coule avec l’Autorisation par Défaut.

En plus de la croissance des logiciels malveillants, les sociétés (leur département IT  particulièrement) ont beaucoup d’autres maux de tête en rapport avec l’Autorisation par Défaut. Premièrement : l’installation de logiciel et services improductifs (jeux, communicateurs, P2P clients … – leur nombre dépend de la politique d’une organisation donnée); deuxièmement : l’installation de logiciels non-vérifiés, et donc potentiellement dangereux (vulnérable) à travers  lesquels les cyber-voyous peuvent se frayer un chemin dans un réseau d’entreprise; et troisièmement : l’installation de logiciels d’administration à distance, qui permettent l’accès à un ordinateur sans la permission de l’utilisateur.

Au sujet des deux premières choses, les maux de tête semblent évidents. En ce qui concerne la troisième, laissez-moi apporter un peu de clarté avec une de mes Explications Technologiques personnelle !

Il y a peu de temps nous avons mené une enquête auprès de sociétés auxquelles nous avons posé la question suivante : « Comment les salariés violent-ils des règles de Sécurité informatique adoptées en installant des applications non-autorisées ? » Les résultats que nous avons obtenus sont visibles dans le camembert ci-dessous. Comme vous pouvez le voir, la moitié des violations proviennent de l’administration à distance. Cela veut dire que des salariés ou des administrateurs de systèmes installent des programmes d’accès à distance pour avoir accès aux ressources internes ou aux ordinateurs pour faire des diagnostics et/ou « des réparations ».

Les chiffres parlent d’eux-mêmes : c’est un grand problème…