Une bonne rsolution pour 2013, faire le point sur sa scurit.

Introduction Une lecture des derniers rapports sur la scurit de fin 2012 nous rvle une situation telle que lon pouvait se limaginer, mais, en un peu plus sombre Ce document na pas pour vocation de redistribuer des donnes que lon peut trouver dans dexcellents rapports qui sont rgulirement publis. Il tend juste, en filigrame, vous aider raliser dans quel contexte et quel nouvel environnement se situe votre entreprise, vos employs et vous-mme. Ce contexte est celui de notre re, lre de linformation. Une information qui schange, se dplace, se dlocalise, se perd, se vole, se vend et qui devrait tre protge, duplique, matrise. Pour les dcisionnaires qui ont peu de temps, je dbuterais par une conclusion. La scurit des donnes doit tre vue telle quelle est, savoir un enjeu ncessaire et primordial qui ne peut plus tre envisag comme par le pass ! La scurisation doit tre multi-niveaux, volutive et robuste. Pense dans un contexte durbanisation mene selon une approche centre sur les processus plus que sur le projet. Il est plus que jamais ncessaire davoir une vision globale de lengagement informatique et donc de la scurisation de ce dernier. Lenvironnement Les diffrentes menaces apparaissent au rythme effrn de plus de 125'000 par jour et un tlchargement sur 14 est porteur dun malware, selon une tude mene par Kaspersky Lab fin 2012 (Kaspersky Lab, 2012). Quelles sont ces menaces ? Auparavant les virus avaient commenc faire parler deux. Souvent dvelopps par des Hacker, terme dsignant alors des dveloppeurs surdous ils taient faits par jeu , le virus qui arrivait faire le plus parler de lui rapportait son auteur gloire et prestige. Certains de ces programmes dtruisaient les donnes ou des lments la machine dans de plus rares cas. Certes dsagrable mais, moins prtritant que les nouvelles menaces qui ne sont plus faites par jeu, mais dans le but de produire et soutirer de largent. De lre des cyber-taquins on est pass lair des cyber-criminels . Les virus ont t suivis par les vers-informatiques, les troyen, les keyloggers, les adwares, les spywares, etc. Initialement ces programmes malveillants que lon peut tous regrouper sous lappellation malware ntaient pas utiliss comme cest le cas actuellement dans le but de faire un gain dshonnte. Ceci a bien chang et le fait dtre infect par un malware aujourdhui peu potentiellement tre la cause de bien des dboires et de pertes financires rapides et lourdes ! Ce nouveau positionnement de lennemi invisible est facilit par une dpendance toujours plus accrue linformatique qui est devenue omniprsente notamment dans les processus dachat et de transaction bancaire. Que cela soit au niveau des personnes, des entreprises ou des tats. Certaines personnes et, plus inquitant, certains organismes ont bien compris dans leur esprit dnu dthique et de tout semblant de moralit, quels gain pouvaient tre faits en ce nouveau terreau. Lutilisation de linformatique et la relation hommes donnes change radicalement et offre de nouvelles failles qui rendent le travail de protection ardu notamment du fait du dveloppement de la philosophie BYOD (Bring your own device). Cette nette tendance amne bien des aspects positifs tant pour lemploy que pour lemployeur, par contre elle est galement vectrice de failles et de difficults pour la mise en place dune politique scuritaire matrise.

Page 1 sur 9
sporchet@naver.com

Une bonne rsolution pour 2013, faire le point sur sa scurit.

Changement dhabitude de consommation La vulgarisation de loutil informatique rend de plus en plus tnue la frontire entre utilisation professionnelle et utilisation personnelle. Ce consumrisme amne plusieurs nouveaux dfis en termes de scurisation. En effet le temps des parcs homognes Windows est rvolu. Les smartphones et les tablettes sont des nuds informatiques dots de plusieurs systmes dexploitations se partageant le march de manire moins tranche que ce ft le cas durant des annes avec la large prdominance de Microsoft dans le monde des microordinateurs. Le vecteur Smartphone Relativement ce changement dhabitude dutilisation de la technologie, prenons lexemple du smartphone dont lutilisation est en pleine croissance (+45% en 2012). Quelques chiffres tirs dune tude comparis.ch nous font raliser que : 48% des Suisses possdent un smartphone et 60% de ces propritaires lon acquit ces deux dernires annes (23% en 2010 et 37% en 2012) (Comparis.ch SA, 2012). La rpartition des systmes quipant ces appareils est la suivante selon une tude de linstitut IDC :

Compar au 1er trimestre 2011 on peut constater que des changements non ngligeables se sont produits. Android prdomine plus largement le march (75% avec une progression de 91.5% en termes dunits vendues), mais Windows effectue une trs forte progression en termes dunits vendues, + 140%.

Page 2 sur 9

sporchet@naver.com

Une bonne rsolution pour 2013, faire le point sur sa scurit.

La mauvaise nouvelle, est que, selon AS Solutions, la plateforme la plus vulnrable est justement Android

Ces chiffres sont reprsentatifs de la situation mondiale. Il est intressant dobserver, selon ltude comparis.ch (Comparis.ch SA, 2012) que ces tendances ne sont de loin pas suivies au niveau helvtique.

Ces donnes rvlent un htroclisme plus marqu dans ce segment que dans celui des microordinateurs de bureau, ou les systmes non Microsoft reprsentent moins de 1% des systmes installs. (Opswat , 2012)

Page 3 sur 9

Une bonne rsolution pour 2013, faire le point sur sa scurit.

Deux choses avoir lesprit lorsquon parle de la dmocratisation des smartphones sont les suivantes. Culturellement la majeure partie des utilisateurs de smartphones lassocie plus un tlphone qu un ordinateur bien que techniquement ce type dappareil soit un ordinateur part entire. Cet tat de fait amne que les possesseurs ne sont pas, de manire naturelle, enclin penser installer un antivirus (encore moins un systme de protection des donnes) sur ce dernier.

De plus, si nous prenons la rpartition des parts de march pour la Suisse nous voyons que plus de la moiti de ces quipements mobiles sont des Iphones pourvus dIOS pour lequel, actuellement, aucun antivirus nest existant ! Un second problme propre aux smartphones et de nouveau li plus lutilisateur qua lappareil. Ce dernier va rechercher une application permettant de rpondre un besoin et le choix se portera de prfrence sur une application gratuite. Hors, fin 2011 une tude mene par un institut Allemand indpendant dmontrait que les antivirus gratuits mis disposition pour Android taient tous largement insuffisants. Le plus utilis de ces produits a mme atteint un taux de dtection de 0% ! Le meilleur score pour les dtections manuelles et en cours dinstallation dapps a t obtenu par le mme programme (32% (faible) pour le scan manuel et 80% (acceptable) pour le scan en cours dinstallation). Ce qui est inquitant cest dobserver que la seconde place est obtenue par un taux de dtection de 6% pour le scan manuel et de 10% pour le scan en cours dinstallation ! Voici le rsultat de cette tude :

(Hendrik Pilz, 2011) Nous relverons que le produit phare install entre un million de fois et cinq millions de fois est dune parfaite insuffisance puisquil na dtect aucune de 182 menaces engages dans le test ! Ltude mentionne Kaspersky mobile, engag avec un autre logiciel payant (F-secure) titre comparatif, en premire position pour lefficience. Actuellement la situation sest amliore et lon trouve plusieurs produits gratuits valables. On ne peut que sen rjouir. Sur sept acteurs important des produits de scurit (Fortinet, Kaspersky, McAfee, Sophos, Symantec, Trend Micro, Websense), cinq prdisent une forte recrudescence des menaces sur les plateformes mobiles (Android serait spcialement expos). (Passeri, 2012) Ltude dont le rsum du rsultat est prsent dans le tableau ci-dessus portait uniquement sur Android. Toutefois, lAPP strore dApple a galement t vecteur de malware. Toutefois, il est important de porter ses regards sur Android, systme pour lequel, en 2012, 98.96% des mobiles malware ont t conus.

Page 4 sur 9

sporchet@naver.com

Une bonne rsolution pour 2013, faire le point sur sa scurit.

Au niveau des diteurs, nous observons une volont de convergence de leurs systmes dordinateurs de bureau et de smartphone (et tablettes) visant noffrir quune interface dote de variantes adaptes au priphrique sur lequel elle sige. Cette orientation tend dmontrer la prdictibilit dune volont de mettre lhomme en relation avec un environnement informatis global et connect. Ceci amne une cartographie de plus en plus floue entre les zones loisirs, ncessit prives ou professionnelles. Android est percevoir de manire un peu diffrente du fait que sa prsence nest quanecdotique dans la micro-informatique des postes de travail, mais sa part de march importante dans le monde des smartphones tend augmenter ainsi que ses possibilits dinteraction avec les infrastructures fixes. Par contre, ce qui nest de loin pas anecdotique cest la mise en contact de ce systme avec celui de lentreprise, 33% des entreprises autorisent les smartphones se connecter leurs ressources et 36% aspirent favoriser ce type dutilisation (Kaspersky Lab, 2012) !

Lutilisateur actuel est un consommateur internet qui a accs depuis son priphrique mobile ou fixe des prestations de cloud computing (gmail, facebook, dropbox, etc.). Il nest pas rare quil ait laccs ces mmes services depuis son systme professionnel. Ainsi les donnes, bonnes ou mauvaises, circulent dun priphrique priv un priphrique professionnel et dune sphre prive une sphre professionnelle sans que cela soit forcment ralis par leur propritaire ou les entreprise qui emploient ces derniers. Actuellement la majorit des pertes de donnes est lie un accs internet. Cet accs internet tant de plus en plus gnralis et tant le plus grand vecteur de menaces il faut tre conscient quune protection axe sur les priphriques seuls ne peut plus suffire. Lre du multiniveau et de la scurit axe sur lutilisateur est la meilleure rponse qui puisse tre donne face laugmentation exponentielle des menaces (la barre des 50 millions de menaces uniques a t dpasse en Janvier 2011, 9 mois plus tard plus de 67 millions de menaces uniques, soit une augmentation de 34 % en neuf mois (Kaspersky Lab, 2012)) Ides reues Si le dbut de ce constat met en avant lutilisation de linformatique mobile et rend conscient des nouveaux challenges que cela va imposer en termes de scurit IT, il ne faut pas penser que lon reste labri dans 55% des cas de figure du fait quIOS est un systme Mac et que Mac est un systme quasiment sans risque au niveau des malwares. On serait en droit de le penser si lon ne savait pas que les menaces pour MAC ont augment de 30% en 2012 par rapport 2011 et de 600% par rapport 2010. Il faut galement savoir quun virus Windows peut siger et affecter son systme cible depuis une plateforme Apple (ou autre). En effet, le systme Windows sur une autre partition ou virtualis peut faire les frais dune menace non dtecte sur une plateforme Apple. Ce qui est inquitant ce titre cest de savoir que les utilisateurs Mac ne sont plus du tout labri et quils ont durant longtemps pris lhabitude de ne pas compter avec les menaces. Durant des annes la communaut des macistes a pu se passer dun antivirus sans trop sexposer, toutefois ce temps est rvolu. Les laboratoires Sophos ont recenss en une seule semaine (du 1 er au 6 aot 2012) plus de 4'900 malwares sur des ordinateurs MAC pourvus de Mac OS ! (Sophos Ltd, 2012) Parmi ces malware Morcut/Crisis qui donne accs a presque toutes les donnes du MAC du positionnement de la souris la Webcam et au micro en passant par ; le presse papier, les contacts, la messagerie, le calendrier, les URL, les captures dcran et les mta donnes du systme de fichiers, etc. Cette tendance nest pas la baisse et les diteurs de produits de scurit constatent une augmentation de la finesse dexcution des codes malveillant qui en termes de type dattaque restent

Page 5 sur 9

Une bonne rsolution pour 2013, faire le point sur sa scurit.

inspirs de ce qui a t pralablement fait dans le monde Windows. Si Mac est issu dune base scuritaire robuste (BSD), il nen est pas de mme de son interface utilisateur. De plus Apple semble plus lent rpondre en termes de correction de failles (ceci a amen 600'000 utilisateurs, rapidement infects, faire les frais dune correction tardive de Java. Java qui dailleurs, linstar du plugin flash demeure un vecteur important de problmatique. Il est recommand de supprimer Java des navigateurs ou alors de nutiliser quun navigateur ddi cet usage pour la consultation de sites exploitant cette technologie Quant Flash il est heureusement en voie dobsolescence grce aux navigateurs prenant en charge HTML 5. Ce ne sont toutefois pas les seules applications prsentant des vulnrabilits souvent exploites que lon installe et utilise sur son systme, il y a galement : Adobe Acrobat et Reader, Internet Explorer et Apple QuickTime. Voici une petite statistique synoptique prsentant les principaux composants vulnrables qui ont t attaqus en 2012 par des exploits. Notons que les attaques sur Java ciblaient tant Mac que PC.

(Maslennikov & Namestnikov, 2012) Les nouvelles tendances Les nouvelles tendances en terme dinscurit amenant une prise de conscience de lurgence et de la ralit de la situation sont les APT (Advanced Persistent Threat), menaces avances persistantes, plus cibles et difficilement dcelables anticipables et liminable. Ces vols de donnes de nature confidentielle, financire, commerciales ou relative la proprit intellectuelle, touche plus particulirement les gouvernements et les grandes entreprises, mais de plus en plus de PME qui ne sestimaient pas menaces en ont fait les frais et deviennent une cible de plus en plus expose. Les kits dexploitation de failles utilisables par des quasis nophytes ont galement le vent en poupe est sont lorigine, via des attaques automatises, de 85 % des infections virales. Chiffre communiqu par les laboratoires Kaspersky. Les rseaux sociaux, facebook en tte sont galement vecteurs de programmes malveillants et cause de perte de donnes. Toutefois, cet gard, une menace tout aussi relle pour les entreprises et la perte de productivit issue de leurs utilisations (82% des personnes connectes sont utilisateur dau moins un rseau social). On observe une recrudescence du kidnapping de donnes via ransomware . Les donnes des victimes se font voler ou, plus souvent, sont cryptes sur place les rendant inutilisables par leur propritaire lgitime. Une ranon est demande en change de ces dernires ou dune cl

Page 6 sur 9

sporchet@naver.com

Une bonne rsolution pour 2013, faire le point sur sa scurit.

permettant leur dcryptage. A ce titre une vulnrabilit accrue des PME, une fois de plus. Ces dernires ont souvent des carences en termes de sauvegarde rgulire. Cette situation augmente la valeur des donnes et la ncessit de payer une ranon en cas de kidnapping. Un triste exemple le 10 dcembre de cette anne lorsquun centre mdical de petite taille cest fait crypter lensemble de la base de donnes de ses patients. La difficult pour cette petite entreprise a t de trouver les fonds pour tre en mesure de payer la ranon afin de pouvoir dcrypter ses propres donnes et de pouvoir ainsi accder nouveau aux dossiers de leurs patients. Ce type de problmatique va de pair avec laugmentation de la cybercriminalit organise (notamment en provenance de Russie pour les ransomwares). On peut sadresser des organismes qui pour quelques milliers deuros vont mettre mal linfrastructure dun concurrent, voler des donnes pour nous les transmettre, etc. Tel que mentionn en dbut de ce document, une nouvelle tendance tant linformatique mobile, un nouveau risque qui est li ce mode de consommation et la perte de donnes suite la perte ou au vol dun priphrique mobile par nature et inconscience, moins protg quun poste fixe, et pourtant plus facile perdre ou voler, avec tout son contenu. La perte est certes un aspect ennuyeux, mais selon la nature des donnes, ce qui est le plus ennuyeux, ce sont les mains entre lesquels elles peuvent tomber. Votre smartphone est-il pourvu dun programme permettant son effacement distance en cas de perte ou de vol ?

Conclusion Posez-vous les questions suivantes : De quelle manire sont scuriss mes terminaux, mes priphriques mobiles ? Est-ce que le cryptage des communications, des donnes, partitions ou des disques sont utiliss ? Quelle politique BOYD est applique ? Quelle infrastructure de mise jour des applications et des systmes dexploitation est en place ? Quelle politique de complexit, de changement et de non-redondance des mots de passes est applique ? Quelle politique dattribution des droits daccs est applique ? Quelle politique daudit des donnes sensibles est applique ? Quelle niveau de protection sur mes serveurs, ma messagerie, mes passerelles, mon infrastructure rseau ? Quelle politique face lutilisation de supports externes (cl USB, CD, DVD, diques externes, etc.) ? Quelle politique de sauvegarde ? Quelle politique de monitoring de linfrastructure ? Quelles versions de SMNP sont actives sur mes priphriques rseaux ? Quelle politique de surveillance de lintgrit du code des pages de mon site web ? Quelle politique de gestion des accs internet ? Quels niveaux de formation ont mes employs relativement aux bonnes pratiques comportementales faces aux menaces ? Comment se situe ma suite de protection antivirale et scuritaire par rapport ses concurrentes ?

Page 7 sur 9

Une bonne rsolution pour 2013, faire le point sur sa scurit.

Si vous ntes pas en mesure de rpondre lune de ces questions ou que vous ntes pas au clair vis-vis de votre scurit, adressez-vous des personnes en mesure de faire le bilan de votre infrastructure et de vous proposer des solutions adaptes vos besoins et aux menaces actuelles. Menaces actuelles pour lesquels les principaux anti-virus du march ont un taux de dtection dun peu moins de 5% !!! Ce test a t effectu avec plus de 40 produits antivirus (dont les top leader), sur un chantillons de 82 nouvelles menaces rcemment dveloppes Bonne anne !!!

Sylvain Porchet sporchet@naver.com

Page 8 sur 9

sporchet@naver.com

Une bonne rsolution pour 2013, faire le point sur sa scurit.

Bibliographie
AS Solutions. (2012, 07). La scurit sous smartphones et tablettes Android. Consult le 12 23, 2012, sur http://www.antivirus-smartphone.com/?guide=la-securite-sous-smartphones-et-tablettes-android Comparis.ch SA. (2012). Comparis.ch sur l'affluence des smartphones. Encode S.A. (2012). ENCODE Extrusion Testing Facts & Statistics. Athens: Encode S.A. Hendrik Pilz, S. S. (2011). Are free Android virus scanners any good? Magdeburg: AV Test, The free independent IT-Security Institute. Hicks, S. (2012, 12 11). Russian hackers hold Gold Coast doctors to ransom. Consult le 12 27, 2012, sur ABC News: http://www.abc.net.au/news/2012-12-10/hackers-target-gold-coast-medical-centre/4418676 Kaspersky Lab. (2012). l'Enqute 2012 sur les risques informatiques au niveau mondial. Kaspersky Lab. (2012). Menaces de type APT : bien plus srieuses que les programmes malveillants ordinaires. Kaspersky Lab. Kaspersky Lab. (2012). Scurit informatique. Matrisez-vous la situation ? Kaspersky Lab. Maslennikov, D., & Namestnikov, Y. (2012). Kaspersky Security Bulletin 2012. The overall statistics for 2012. Moscou: Kaspersky Lab. McDonald, G., & OGorman, G. (2012). Ransomware: A Growing Menace . Mountain View: Symantec Corporation. Opswat . (2012, 11). Antivirus Market Analysis: December 2012. San Francisco: Opswat . Passeri, P. (2012, 12 26). Browsing Security Predictions for 2013. Consult le 12 27, 2012, sur hackmageddon: http://hackmageddon.com/2012/12/26/browsing-security-predictions-for-2013/ PERLROTH, N. (2012). Outmaneuvered at Their Own Game, Antivirus Makers Struggle to Adapt. New York Times. Sophos Ltd. (2012). Sophos Security Threat Report 2013.

Page 9 sur 9