Les récentes attaques montrent que les leçons du passé ne sont pas retenues : CF « Stuxnet » (nul n’est à l’abri d’une faille d’un protocole USB).
Ou encore Centreon qui est encore une énième histoire d’absence de maintenance/mise à jour, veille stratégique/technique mais aussi de communication.

Néanmoins, il y’a une différence par rapport à l’affaire SolarWinds : l’application Centreon n’a pas été apparemment « backdooré ». L’attaque de type web shell PAS (dont l’outil parfaitement légal a été créé par un étudiant ukrainien et disponible sous GitLab) est particulièrement redoutable et radicale et raison de sa quasi-indétectabilité. Si un administrateur système/réseaux est rigoureux, l’analyse des fichiers journalisées (CF fichier .htaccess de Apache) si elle est régulière et attentive permet de trouver les traces suspectes relevant la présence d’un web shell. En général, ce fichier sera au format php, avec un nom inconnu et des requêtes plus que douteuses par le biais de mots clefs suspects (GET, POST…). De plus en plus de web shell passe par le fichier .htaccess car il moins suspect qu’un fichier php, il permet d’appliquer des filtres dans l’upload de fichiers et surtout permet de manipuler la configuration de Apache sans passer par le fichier de configuration http.conf). En plus, le module mod_rewrite de Apache permet de recharger le fichier .htaccess à chaque chargement de page = modification à la volée de la configuration des pages et des réécritures. Un « bon » spécialiste aurait placé Centreon : derrière un pare-feu et créer une règle pour que le pare-feu réalise des vérification en DMZ.

Plus récemment, « Log4j » (la note technique CVSSv3 vaut bien un 11.0/10.0) hantera le web et ses fondations encore : 4 vulnérabilités pour une bibliothèque de logs, de là à voir que « log4j » capable de se connecter à une base de données, exécuter du code dessus même si il n’est pas directement joignable ou derrière une DMZ, on se pose vraiment des questions (prise de contrôle à distance sans authentification).

L’affaire est prise de sérieux : la Maison Blanche a déclaré que la sécurité de l’Open Source est une question de sécurité nationale. Elle va réunir courant ce mois tous les acteurs du marché. Il faudra convaincre utilisateur et développeur d’auditer les packages dans les dépôts des différentes distributions racines…

La pression de la maîtrise des coûts sur les DSI qui favorise l’externalisation à tout va ne semble pas arranger la donne.

Détecter une vulnérabilité sur Windows, Linux, BSD, MacOS, iOS, Android demande beaucoup de travail. Techniquement, on doit surtout vérifier les processus (programmes en cours d’exécution), réagir en cas de comportement anormal et bien veiller aux fichiers journalisés (logs) attentivement… Seul le temps permettra d’évaluer les dégâts. La cyberguerre est désormais devenue la composante majeure des nouvelles formes de conflictualités au XXIe siècle. Avec des dégâts se chiffrant en milliards de dollars pour un investissement de quelques milliers, le recours aux systèmes d’armes classiques apparaît de plus en plus obsolète.

Ian WEST, directeur du centre technique de la capacité de réaction aux incidents informatiques de l’OTAN et Eric FILIOL, ancien militaire, directeur du laboratoire de cryptologie et de virologie opérationnelles à l’ESIEA déclare qu’aujourd’hui, un individu muni d’un ordinateur peut causer plus de dégâts qu’une bombe ou toute autre arme conventionnelle. L’état des lieux de la sécurité informatique a soulevé la question de la protection des données personnelles et des solutions dans une optique de l’analyse des risques. Disposer d’une politique de protection des données est signe de la mise en place d’une confiance numérique (entreprise responsable) d’une part, et, d’autre part, d’une économie responsable (conformité RGPD, EBIOS).

Il est grand temps d’intégrer le concept de « Securirty by Design » dans les projets et d’investir sérieusement : il faut 5% de budget supplémentaire pour produire du code sécurisé sans oublier le risk-management afin d’évaluer le risque et la probabilité.

La société, hyper-connectée, semble échapper à tout contrôle, que ce soit technique (cyberattaque) ou législatifs (GAFAM).

Et si c’était mieux avant : CF la méthode de VAUBAN où on laisse les enceintes accessible pour identifier la menace et la contrer. Dois-on revenir sur une architecture composée d’une unité centrale et de terminaux passifs, les échanges avec l’extérieur de l’entreprise se faisant avec de multiples précautions et tests divers, quitte à ralentir la rapidité de ces échanges. Le risque zéro n’existe pas.

« Quis custodiet ipsos custodes? » (Qui surveillera les gardiens?)…