Novembre 2003 : Entretien Castlegirl / Bob Marley, expert en sécurité.

Bob : "
Je viens de quitter un précédent poste de veille sécurité sur l'un des intranets les plus importants de France. Je travaillais donc au sein d'un service spécialisé dans l'informatique, et plus particulièrement dans le réseau...

J'y ai vu ce que j'avais déjà constaté auparavant dans d'autres lieux : La négligence.
C'est grâce à elle que nombre d'entre nous ont appris les bases de l'intrusion, mais les administrateurs l'ignorent pour la plupart et cette ignorance est VOLONTAIRE."

Castlegirl : "
Rappel : En France, le fait de s'introduire ou de se maintenir sur un système d'information est un délit. Si un administrateur réseau, à des fins de tests et pour perfectionner ses connaissances en la matière, tentait ou parvenait à s'introduire frauduleusement dans un système informatisé, il serait reconnu coupable de ce même délit... Même s'il parvenait à démontrer au tribunal que ses activités ne se limitent qu'aux tests et que son objectif est de s'auto-former sur le thème de la sécurité informatique, il serait passible de la même peine que le gamin de 14 ans qui vient de plomber le serveur principal de la Banque de France. "

Bob : "
Je souligne ce point pour mettre en lumière la politique générale de la sécurité informatique française : Je suis spécialiste en sécurité, j'apprends donc à poser des serrures, mais je n'ai pas la moindre idée de la manière dont s'y prendrait un cambrioleur pour la forcer. Et si d'aventure, me venait l'idée d'essayer les méthodes des casseurs, je risquerais la prison. Je n'aime pas la prison. Je ne suis pas cher payé. Alors je ne vais pas risquer ma peau pour sécuriser convenablement mon réseau.
Par extension, vous remarquerez que les immeubles sécurisés avec codes secrets etc sont aussi accessibles que les réseaux, pour les mêmes raisons, que je détaille ci-dessous.

Voici un exemple type de structure sécurité dans une très grande organisation française, dont la principale mission est d'assurer... la sécurité...

Le schéma hiérarchique est basé sur un grand principe : Il existe un unique responsable de la sécurité des systèmes, qui délègue ses pouvoirs via son adjoint, à un ensemble d'employés.
"Responsable de la Sécurité des Systèmes d'Information" n'est pas un statut hiérarchique. On ne crée que rarement un poste de Responsable Sécu. En général, c'est un des cadres de l'organisation qui prend cette fonction... De même que l'administrateur réseau est souvent un simple employé, qui "s'y connait en informatique", mais qui, par ailleurs a un poste dont la mission n'a rien d'informatique.

Il est donc courant de retrouver à ces postes de parfaits incapables et à plus forte raison, des personnes totalement isolées du monde du "hacking" au sens premier du terme. Ils connaissent un certain nombre de tâches répétitives à effectuer et ont rarement le temps de se documenter sur les derniers exploits en date ou sur les failles publiées un peu partout dans le monde.

Le responsable visé s'appellera Monsieur Ho. Il est cadre supérieur et dirige une équipe de vingt personnes dont la mission est la maintenance informatique, la programmation et la veille réseau. Cette équipe est un détachement d'un service plus vaste spécialisé dans la sécurité des personnes et des biens.
Monsieur Ho a suivi un stage d'une semaine avant de recevoir son "diplôme" de Responsable Sécurité. Le contenu du stage ? Pas grand chose : Notions d'intrusions et de sécurisation, notions de cryptographie, notions de virologie électronique, notions de ci, notions de ça. Au départ, Monsieur Ho ne connaît de l'informatique que son PC sous Windows xx.
De retour de ce stage, Il met en place une politique de sécurité basée sur le principe suivant :
"Le réseau interne de mon organisation est isolé du reste du monde par une passerelle sécurisée de niveau militaire, je mets donc immédiatement de côté la sécurisation contre le monde extérieur".
Pour traduire : Son réseau est parfait et les attaques ne peuvent survenir que de l'intérieur.

Deuxième principe : "Les gens qui travaillent autour de nous n'ont jamais vu d'ordinateur de leur vie, je peux donc leur faire croire que la sécurité est très élevée, la seule peur les empêchera d'agir".
Inutile de traduire, mais cela signifie que ce Monsieur Ho sous estime largement ses adversaires, alors que le principe de base d'une personne chargée de sécurité devrait être : "Le mal est partout et même ailleurs et surtout sous mon nez !"

Troisième principe : "Les gens qui ont un accès physique aux données sensibles sont dignes de confiance et de toutes façons que pourraient ils faire de ces informations ?".

C'est là que j'interviens.
1/ Aucun réseau, s'il a un accès extérieur, même ultra sécurisé par la Défense elle-même, n'est impénétrable. La politique sécurité de Monsieur Ho est donc basée sur un postulat erronné, dès le départ. Trop grande confiance implique négligences.

2/ De nos jours on trouve partout, au moins trois personnes qui connaissent un brin d'informatique et parmi elles, une qui s'intéresse peut-être aux moyens d'entrer là où ce n'est pas permis... Ne serait-ce que par jeu.

3/ Les personnes les plus dangereuses sont justement celles qui ont un accès physique aux données. D'hypothétiques pirates venus des Caraïbes ne sont rien en comparaison de ces fidèles employés qui ont accès chaque jour au classeur des mots de passe, au coffre fort renfermant le code source de la dernière application sécurisée, etc...

Malgré mes recommandations, Monsieur Ho ne veut rien savoir. Et voilà ce que je constate, au fil du temps :

Pour entrer dans l'immeuble, il y a un code. Il s'agit d'une DATE... Genre 080545.
Pour passer la première porte menant aux ascenseurs privés, un second code très élaboré, du style : 01A02.
Les ascenseurs : Pour monter ou descendre, il vous faut le code d'accès à l'étage voulu...
Mais comme vous avez déjà deux codes à retenir, on vous facilite la tâche. Ainsi pour aller au premier ce sera A01B, pour le deuxième B02A, troisième A03B, etc...
Pourquoi faire compliqué quand on peut faire ultra simple ? L'explication réside en ceci : Même les plus grands agents secrets ont une mémoire limitée. Et comme il leur faut trois ou quatre codes pour entrer dans leur bureau, mieux vaut qu'ils soient faciles à retenir... L'esprit humain, aussi brillant soit-il, est limité.

Une fois dans le bureau (je n'ai pas besoin de parler des codes en 1234 à l'entrée des bureaux!), vous avez un ordinateur et pour l'allumer, il vous faut un mot de passe, qui sera identique à votre mot de passe réseau, évidemment, c'est plus simple et de toutes façons, personne ne viendra voler d'informations sur votre machine, c'est bien connu !

La politique de mots de passe réseau : Les mots de passe sont basés sur une combinasion du numéro de poste téléphonique de la personne et sur ses initiales... Si mon numéro est , mon poste étant donc le 6789, mon mot de passe réseau sera : 67BM89 (BM=Bob Marley, évidemment).
L'avantage d'avoir un Responsable Sécurité est que vous ne choisissez pas vous-même votre mot de passe. Ainsi, ce qui marche pour BobMarley marche pour PeterTosh au poste 9876 : son code sera le 98PT76.
Un simple employé de base sera donc en mesure de deviner les mots de passe de l'ensemble de ses confrères ! On appelle ça une POLITIQUE de sécurité : Un algorithme qui s'applique à tout le monde !

Bref... Jusque là, la totalité des codes d'accès de cet immeuble et de son réseau interne est accessible à un gamin de 4 ans. Cet exemple est malheureusement une extension de la quasi totalité des politiques de sécurité en France... Et ailleurs... et je ne parlerai pas ici des mots de passe basés sur le nom des enfants, les dates de naissances, le prénom de la belle-mère, du chien, etc... Ca, on le sait déjà.

Chaque employé de la Monsieur-Ho-Corporation possède une adresse mail gérée par un serveur exchange interne à l'organisation. Là, ça se complique franchement. Les mots de passe de messagerie sont composés de caractères alphanumériques, avec un minimum de 12 caractères. exemple : xyz458bt8hv2.
Evidemment, Mme Moulinaud, secrétaire, n'a pas envie de retenir un truc aussi compliqué. Elle enregistre donc son mot de passe sur son logiciel de messagerie et si j'ai accès à sa machine, je fais ce que je veux.
Mais Monsieur Dumalin est beaucoup plus intelligent. Il connait son mot de passe par coeur et le tape à chaque connexion.
C'est compter sans l'indéniable compétence de Monsieur Ho, RSSI de l'organisation : En effet, celui-ci possède un classeur contenant l'ensemble des mots de passe des personnes placées sous sa responsabilité informatique... y compris ceux du PDG... Et ce classeur est placé dans un coffre fort, dans un bâtiment sécurisé (celui que j'ai décrit au dessus, c'est dire!).
Eh bien tu vas rire, mais le coffre est ouvert toute la journée et quand il est fermé, la clé est cachée dans une boîte, à trente centimètres de là. n'importe qui peut prendre ce classeur, le photocopier et en faire un certain usage. Le coffre est ouvert même lorsque Monsieur Ho est absent ! Si tu as un visage connu dans ce bureau, tu peux sans peine t'emparer du classeur et le revendre à l'étranger ! Sachant que cette organisation est gouvernementale tu risques certes la condamnation pour haute trahison ou pour atteinte à l'Etat, mais eux, risquent de voir l'ensemble de leurs données récupérées par n'importe qui !

Enfin, ce que je voulais mettre en lumière, c'est qu'ils sont si sûrs d'eux et si certains que ce serait "vraiment pas de chance" si quelqu'un parvenait à voler des informations, qu'ils ne prennent aucune précaution particulière. C'est risible et je tenais à ce que tout le monde le sache, parce que je suis certain que la plupart des entreprises, organisations et particuliers sont aussi abrutis que ça ! "

Merci à Bob Marley pour son exposé.

La connaissance de la stratégie de sécurité de votre cible vous permet de savoir comment la contourner aisément. C'est une évidence, mais beaucoup négligent ce principe. Le gagnant, dans ce vaste jeu, est le moins négligent d'entre tous, tout simplement. La prise d'empreinte ne doit pas se limiter à des informations sur l'informatique elle-même. Connais ton ennemi.
Je ne suis pas responsable des propos de BOB et toutes les informations fournies sont exactes, hors les noms, codes et mots de passe, volontairement erronnés.

castlegirl -:- Team SH member