Les cyber-attaques défraient la chronique. Elles sont motivées par des objectifs économiques (les données volées ont un prix…) mais aussi politiques. Après le piratage de nombreux sites web Français début 2015, les cyber-djihadistes ciblent les médias, plateforme idéale de leur propagande. Au-delà du vol de données, dans les cas de TF1 (Janvier 2015) et Sony (Novembre 2014), ces attaques ont démontré leur capacité de nuisance, voire de destruction, avec la mise hors service de journaux en ligne du groupe belge Rossel, dont le quotidien « Le Soir », et l’impossibilité d’émettre imposée pendant plusieurs jours à TV5 Monde. Les entreprises du secteur des médias doivent comprendre comment ces attaques sont réalisées afin de se prémunir contre de tels risques. Voici quelques conseils basés sur ce que l’on sait du mode opératoire des attaquants.
Des attaques parfois sophistiquées, toujours ciblées
Les informations publiques ne permettent pas de faire un diagnostic détaillé, mais il semble que les sabotages récents ont utilisé plusieurs vecteurs d’attaque qui sont en soit assez classiques : virus transmis par messagerie qui se propage ensuite automatiquement au sein du réseau informatique, usurpation de l’identité de personnes clés, ouverture d’une porte dérobée sur un site web vulnérable, fuite ou destruction de données, mise hors service des serveurs de l’environnement de production, etc. Il y a des moyens de prévenir ces attaques, comme nous le verrons plus loin.
Les spécialistes qualifient parfois ces attaques « d’avancées et persistantes », ce qui laisse entendre une sophistication hors norme. C’est parfois le cas, mais pas toujours. Ce sont surtout les résultats obtenus qui sont, parfois, sans précédents. Tous les pirates ne sont pas des experts des techniques de hacking. Les attaques les plus complexes sont rendues abordables par le « packaging » d’outils pointus, vendus au cybermarché noir.
Quelle que soit leur complexité, il faut comprendre que ces attaques sont avant tout ciblées. C’est probablement cela qui a le plus changé depuis une dizaine d’années, et doit nous inviter à nous interroger sur les moyens mis en œuvre pour nous protéger, car nul n’est à l’abri d’être visé un jour, comme nous le montre l’actualité.
Un mode opératoire à comprendre, des solutions à ajuster aux risques
Pour commettre leurs forfaits, les attaquants procèdent avec méthode. Ils ont généralement le temps de chercher et de trouver la bonne approche. Et l’embarras du choix dans le domaine des armes.
Le B-A-BA du hacking reste la collecte de données utiles sur la cible, qui serviront à contourner les quelques défenses en place (mots de passe, notamment). Cette étape est grandement facilitée aujourd’hui par l’usage immodéré des réseaux sociaux. Que faire d’autre ici que de sensibiliser les utilisateurs aux risques qu’ils font courir à l’entreprise en n’étant pas assez discrets sur eux-mêmes ?
Le reste est affaire de persévérance dans la recherche d’une ou plusieurs failles exploitables et d’un ou plusieurs vecteurs d’approche.
Après avoir identifié des individus cibles, il n’est pas rare que le hacker utilise la messagerie pour atteindre ces personnes et tenter de les pousser à l’erreur, comme d’ouvrir une pièce jointe ou de cliquer sur un lien. Un logiciel anti-virus de bonne qualité, maintenu à jour et déployé sur chaque poste comme au niveau de la messagerie, évitera à l’entreprise de faire les frais de telles erreurs humaines.
D’autres modes d’approche sont utilisés, qui s’appuient sur les mauvaises habitudes des utilisateurs ciblés.
L’utilisation imprudente de clés USB par exemple, vecteur de l’attaque fameuse (et techniquement sophistiquée), qui mit en déroute les centrifugeuses Iraniennes il y a quelques années. Des logiciels de sécurité existent qui, en contrôlant les actions autorisées aux utilisateurs, permettent de limiter les risques de propagation de virus ou de fuite de données sur les postes de travail.
Parmi les mauvaises habitudes, on trouve aussi le surf sur Internet. Un logiciel de filtrage des accès au World Wide Web permettra de s’assurer que les utilisateurs ne visitent pas de sites réputés comme dangereux, du moins lorsqu’ils surfent à l’aide d’une connexion internet fournie par leur employeur.
Un hacker avisé pourra aussi piéger un utilisateur cible à son insu, en exploitant la faille d’un site web auquel il se connecte régulièrement pour y cacher un script malicieux. Il suffira d’attendre qu’il s’y connecte de nouveau pour l’infecter à son tour et aspirer des informations utiles, permettant notamment d’usurper son identité. Un parefeu applicatif, positionné devant les applications web utilisées par l’entreprise permettra d’éviter ce scenario et bien d’autres, comme l’indisponibilité ou le détournement du contenu de sites web. Il permettra aussi d’empêcher l’ouverture d’un canal d’exfiltration de données, en cas d’intrusion réussie par un autre moyen.
Il y a bien d’autres vecteurs d’attaques possibles et d’outils qui permettent de s’en prémunir. Nous évoquerons simplement pour terminer la question cruciale des mots de passe. La tentation est grande pour chacun d’entre nous d’utiliser le même mot de passe, simple à mémoriser, pour accéder à de multiples applications web, tant personnelles que professionnelles. C’est la porte ouverte à toutes les usurpations d’identités. La mise en place d’un service d’authentification central au sein de l’entreprise permettra de renforcer la sécurité des accès tout en simplifiant la vie quotidienne des utilisateurs.
Se prémunir des cyber-attaques n’est pas réservé aux grands groupes
Comme nous venons de le voir, des solutions existent pour limiter les risques qui pèsent sur la sécurité des données au sein d’un système d’information moderne. Cette liste peut faire peur aux responsables des entreprises de moindre taille. En effet, de nombreuses sociétés de médias sont des entreprises de taille intermédiaires, qui ne disposent pas forcément des compétences internes en sécurité pour élaborer un système de défense très élaboré. Les attaques récentes démontrent néanmoins l’importance de ces questions. Et sans doute aussi l’urgence de chercher auprès de partenaires de confiance le conseil et l’aide qui leur permettra d’identifier les risques, de les mesurer et de mettre en place une stratégie adaptée à leurs moyens, avant qu’il ne soit trop tard.