En matière de cybersécurité, verrouiller les configurations des programmes et corriger les ordinateurs sont les deux tâches les plus cruciales.

En matière de cybersécurité, verrouiller les configurations des programmes et corriger les ordinateurs sont les deux tâches les plus cruciales. Elles figurent toutes deux parmi les tâches hautement prioritaires dans les contrôles 3 et 4 du programme de sécurité informatique intitulé « 20 contrôles de sécurité critiques » que nous avons déjà évoqué et qui est désormais également mis en avant par le Conseil pour la cybersécurité. Elles sont classées juste après les tâches d’inventaire du matériel et des logiciels décrites dans les contrôles 1 et 2.

Mais corriger et sécuriser les configurations n’est que la phase préliminaire pour notre chaîne logistique numérique. Nous devons également être sensibles aux relations indirectes au sein de notre infrastructure. Les patchs diffusés en août dernier par Microsoft contenaient une nouvelle version de Microsoft Exchange, un point intéressant sur lequel il convient de s’attarder. En effet, Microsoft a dû publier une nouvelle version de son programme Exchange Server pour résoudre une vulnérabilité dans l’un de ses composants qu’il ne contrôlait pas. L’éditeur, qui utilise ce composant sous licence auprès d’un fournisseur tiers, doit donc vérifier lui-même la disponibilité des patchs de sécurité. Même si Microsoft fait de son mieux à ce niveau, le logiciel en question, à savoir Outside-in d’Oracle, est utilisé par d’autres entreprises et produits qui n’ont peut-être pas adopté le même principe rigoureux. À l’heure actuelle, je ne connais aucun autre éditeur de logiciels ayant diffusé de nouvelles versions de ses produits suite à ce problème.

La méthode Twitter a fait ses preuves

Sécuriser notre chaîne logistique numérique est important, comme l’illustrent les récentes attaques sur les sites de news du New York Times, du Huffington Post et de Twitter par l’Armée électronique syrienne (AES). Cette dernière n’a pas directement attaqué ces entreprises. Elle s’est rendue sur le site de leur bureau d’enregistrement de noms de domaine (« registrar »), un prestataire de services tiers incontournable pour toute société présente sur Internet. En effet, cet opérateur gère la relation du NY Times avec l’administrateur de domaines du plus haut niveau « .com » et contrôle aussi et surtout le mappage des serveurs de noms. En temps normal, le serveur de noms utilisé s’appelle « dns.ewr1.nytimes.com » dans le cas du NY Times. Cependant, pendant l’attaque, l’AES a pu pénétrer sur le site du bureau d’enregistrement de noms de domaine utilisé par le NY Times et modifier son serveur de noms en « m.sea.sy ». Ainsi, l’AES a pu contrôler l’accès à tous les serveurs nytimes.com et surtout www.nytimes.com, mais aussi à tous les autres serveurs tels que mail.nytimes.com, ce qui a entraîné des défacements partiels des sites ainsi que des temps d’arrêt.

Twitter a bien mieux résisté à cette même attaque grâce à une protection baptisée « verrouillage de registre » mise en place avec le bureau d’enregistrement de noms de domaine pour « .com » et exécutée par VeriSign. Lorsque le verrouillage de registre est activé, les modifications apportées au serveur de noms sont analysées par un humain et confirmées par téléphone à la société demandeuse. Une modification de la configuration normale de Twitter de « ns1.p34.dynect.net » en « m.sea.sy » aurait été détectée comme suspecte par un humain. En outre, cette opération nécessiterait un niveau d’ingénierie sociale supplémentaire pour se faire passer pour un employé légitime de Twitter, ce qui semble pratiquement impossible à réaliser. Cet exemple devrait vous inciter à faire le point sur votre exposition et réfléchir à la façon de la réduire au minimum si besoin. Et il en va de même pour tous les domaines utilisés par votre société, non seulement le « .com », mais aussi les « .fr », « .de » ou « .co.uk » et tout autre domaine du plus haut niveau.

Pour les professionnels de la sécurité informatique que nous sommes, ces mesures viennent s’ajouter à notre inventaire des actifs de l’entreprise. Nous devons nous interroger sur les ressources dont dépend l’entreprise et sur les problèmes potentiels susceptibles d’impacter ces mêmes ressources. Nous ne pouvons pas nous arrêter aux frontières de l’entreprise. Il nous faut étendre notre carte des actifs à nos fournisseurs de services et les inclure dans nos préparatifs et tâches de supervision.