Le CLUSIR Rhône Alpes a
organisé, le 12 Mai dernier, une présentation des nouvelles tendances de la
cybercriminalité pour l'année 2010.
Dans un premier temps, il a été abordé une réalité importante.
De nos jours, les informations disponibles sur internet et exploités par les ordinateurs du marché, dont les performances dépassent de loin les capacités nécessaires aux utilisateurs, sont susceptibles d'engendrer des attaques efficaces (DDOS, bruteforcing à travers les botnet par exemple), émanant de simples utilisateurs. C'est un risque à ne pas négliger dans le milieu professionnel. Aucune jurisprudence n'existe, en France, sur le sujet.
Le second sujet concernait la sécurité physique des datacenters. Nos constations sur le sujet nous amènent à affirmer qu'aujourd'hui, très peu de datacenter 'privés' (c'est à dire gérés par des clients finaux) sont à l'état de l'art à ce niveau.
- Le contrôle d'accès: Beaucoup de data center ne sont pas, ou mal équipé pour garantir une sécurité optimale en ce qui concerne leur accès par des personnes malveillantes et/ou ne faisant pas partie des personnes autorisés a accéder au matériels et/ou aux données (Baies de brassages, serveurs...). Le contrôle de l'identité de la personne voulant y accéder est souvent considéré comme une simple formalité, ainsi que les systèmes digicode où le code est facilement repérable par négligence de la personne qui le compose.
- Les risques d'incendie: Tout data center devrait être équipé de porte coupe feu, d'alarme incendie ainsi que d'un système automatique d'extinction.
- Les risques de dégât des
eaux: Un data center devrait être protégé d'un éventuel dégât des eaux et
de ce faite ne devrait pas se situer au sous sol. Un
data center situé au sous sol étant plus facilement inondable qu'un data center situé au deuxième étage d'un bâtiment. Les conduites d'eau ne devraient pas traverser ou faire partie de l'enceinte du "caisson", comme Le système de climatisation devrait être situé dans une autre pièce que le "caisson" à cause des risques de fuites.
En résumé, un data center devrait être agencé en trois zones, séparées par des portes coupe feu afin d'éviter toute propagation d'incendie, ainsi que d'un système d'authentification des visiteurs autorisés (digicode, reconnaissance digitale, ou rétinienne) :
- La première serait réservée à
l'accueil, elle permettrait uniquement le contrôle d'accès aux visiteurs.
- La seconde serait réservé à l'administratif, elle accueillerait les clés, les documents sensibles et le matériel tel que photocopieur, fax ou tout autre équipement susceptible de contenir des informations sensibles et de ce fait ne devraient être accessible que par des personnes dont l'identité a été contrôlée.
- La troisième serait le data
center a proprement parler, qui accueillerait les baies de brassage, serveur,
routeurs...
Chez Intrinsec, nous pallions à ces différents problèmes grâce a la mise en place, dans nos datacenters, d'une authentification par badges magnétiques nominatifs et distribués de manière très restrictive. Dans le cas d'interventions ponctuelles, l'accès au data-center se fait accompagné, après une vérification systématique de l'identité de l'intervenant.
Nos trois datacenters (Paris,
Lyon, Nantes), sont aujourd'hui considérés comme à l'état de l'art.
Le troisième sujet abordé nous concerne tous: les réseaux sociaux. A travers ces nouveaux outils, la négligence des utilisateurs permet de retrouver des données permettant facilement d'usurper une identité et/ou de construire un dictionnaire personnalisé afin de récupérer un mot de passe donnant l'accès a des données sensibles. Quelques exemples récents, notamment le vol de comptes Twitter de personnalités publiques, doivent inciter les utilisateurs à une vigilance accrue. Cette vigilance ne peut passer qu'à travers des campagnes de sensibilisation, rendues obligatoires par plusieurs standards (SOX, PCI-DSS...).
Intrinsec est partenaire de
Conscio-Technologies (http://www.conscio-technologies.com/),
éditeur de l'application "Sensiwave", proposée en mode Saas.
Sensiwave permet aux entreprises
de sensibiliser les utilisateurs aux notions de sécurité de l'information de
manière ludique et originale.
Enfin, le dernier sujet concernait la sécurité du réseau GSM, fortement utilisé pour l'envoi de données par différents systèmes, tel que la vidéo-surveillance, les alarmes anti-incendie et/ou anti-intrusion...
Il existe, aujourd'hui,
plusieurs techniques permettant l'exploitation de ce réseau à faible niveau de
sécurité:
- Des techniques actives qui consistent à capter les clés secrètes circulant entre le téléphone et la BTS (Base Transceiver Station), a mettre en place de faux BTS, afin d'intercepter les communications circulant en clair.
- Des techniques dites passives
qui ont pour but d'enregistrer des communications à distance, afin de les
exploiter ou de les revendre.
Les algorithmes utilisés jusqu'alors A5/1 et A5/2 ont été démontrées comme cryptographiquement faibles, et vont bientôt être remplacés par l'algorithme A5/3 qui évitera l'usurpation de BTS. Cet algorithme est exclusivement réservé au réseau 3g, le problème venant des téléphones du marché actuel qui ne permettent pas tous, le forçage de la configuration sur le réseau 3g. Les algorithmes utilisés par la majorité des communications restent alors l'A5/1 et l'A5/2.
Nous conseillons donc à toutes les entreprises utilisatrices de ce type de service de le faire auditer pour s'assurer qu'aucune donnée sensible ne peut être compromise.
Sachez également qu' Espace Numérique Entreprise a présenté les "SSI praTIC". Il s'agit de fiches pratiques créées pour permettre aux entreprises d'améliorer leur connaissance de la sécurité informatique et de comprendre le vocabulaire technique. Il est possible de les télécharger gratuitement sur le site de l'ENE (http://www.ene.fr/data/document/guide-ssi.pdf)
