« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité alors vous n’avez rien compris aux problèmes ni à la technologie », Bruce Schneier.
Nous sommes à l’ère numérique. Des données personnelles sont partagées avec des entreprises dont on ignore complètement le propriétaire, l’adresse. Cela importe peu. Parfois c’est le service qui compte. Qu’il soit gratuit ou payant.
Le cyberespace
De plus en plus notre dépendance du numérique s’accentue. Tous, consciemment ou inconsciemment nous vivons dans un cyberespace par rapport à notre mode de vie : ordinateurs, téléphones intelligents, réseaux sociaux, email, internet, achat en ligne etc. Le Cyberespace désigne l’univers numérique dans lequel se déroule la transmission des informations. Il ne constitue pas un espace géographique et encore moins un territoire. Il fait référence à un monde virtuel et immatériel dans lequel des systèmes d’information, des objets, des équipements et terminaux sont connectés à l’internet pour permettre à l’homme de communiquer, se divertir ou faire des affaires etc.
Le domain name server (DNS)
Pour comprendre l’un des rôles du DNS, supposons qu’un utilisateur veuille accéder au contenu du site monsite.com à partir de son poste de travail :
- l’utilisateur lance son navigateur et saisit l’adresse monsite.com;
- le navigateur envoie une requête d’accès au site en contactant le “domain name server” (ou système de nom de domaine) de son fournisseur d’accès à internet qui identifie l’adresse IP du serveur hébergeant les fichiers de monsite.com;
- le DNS analyse et la requête de l’utilisateur au serveur;
- la requête est traitée dans la mesure où celle-ci est correcte et l’hébergeur envoie le contenu sollicité au DNS de l’utilisateur qui le transmet à son navigateur.
L’homme du milieu
En matière de communication, il y a toujours un émetteur et un récepteur. Cependant, un intrus peut infiltrer les dispositifs de communication. Le “troisième homme”. L’homme du milieu. “The man in the middle”. Il est là pour intercepter les communications entre les deux parties, les lire ou les modifier. Il est l’usurpateur qui se fait passer pour l’un des correspondants, le client qui a émis la requête ou le serveur qui la va traiter. Pour ce faire, il utilise des techniques comme, installer des logiciels malveillants sur l’appareil de l’utilisateur, exploiter une faille de sécurité du système ou dans le cryptage des données. A travers internet, la méthode d’injection SQL est la plus répandue. Elle vise les sites web. Cette méthode consiste à modifier une requête SQL en injectant des morceaux de code non filtrés, généralement par le biais d’un formulaire. Les conséquences d’une faille SQL peuvent être multiples, du contournement de formulaires d’authentification au “dump” complet de la base de données en passant par l’exécution arbitraire de codes.
Le facteur humain
Un système de sécurité doit répondre aux différentes facettes du système : technique, humain et processus. La sécurité n’a pas seulement à voir avec les aspects technique et physique. Le facteur humain est le maillon faible de la sécurité informatique. Ramir Bradir a déclaré qu’un ordinateur sécurisé est un ordinateur entreposé dans un hangar et débranché. Kevin Minick, auteur de l’art de la supercherie a répondu en disant “il pourra toujours trouver quelqu’un pour le brancher”. Tout ceci c’est pour expliquer qu’aussi sophistiqué soit un système de sécurité, une personne interne peut laisser un attaquant déjouer toutes ces protections. Les failles humaines servent d’effet levier pour briser les barrières de sécurité. Les pirates privilégient l’aspect humain sur tous les autres car généralement, l’humain néglige les procédures de sécurité. En cliquant sur un lien qui contient des lignes de codes malveillants, on peut ouvrir une brèche à des manipulateurs pour pénétrer un réseau ou voler les données confidentielles sur son ordinateur.
Ces manipulateurs utilisent des méthodes et techniques afin d’arriver à leurs fins. L’ingénierie sociale (ou social engineering en anglais) fait référence à des pratiques de manipulation psychologique à des fins d’escroquerie. Le hameçonnage (ou phishing en anglais) est une technique frauduleuse qui vise à obtenir des informations personnelles dans le but de perpétrer un vol d’identité. Celui qui est ciblé reçoit un email de l’attaquant qui se fait passer pour une institution ou une personne crédible (banque, assurance, ami etc.) lui demandant de confirmer une information confidentielle (numéro de carte de crédit, code d’accès etc.). Le mail contient alors un lien renvoyant vers un site qui permettra à l’escroc de récupérer les informations demandées. Cette technique peut également être faite par le biais de SMS et porte le nom de SMiShing.
La culture de la sécurité
Aucune règle de sécurité ne doit être négligée. La sensibilisation, la formation et l’éducation restent des éléments fondamentaux dans le renfoncement du processus de sécurité. La sensibilisation à partager une compréhension de l’importance et comment se conformer aux politiques de sécurité. Elle adresse le pourquoi de la politique. La formation implique à informer les acteurs de leur rôle dans le respect des exigences de sécurité. L’éducation aide à conscientiser sur l’importance de la sécurité, les dispositions à adopter comme la protection des mots de passe, la sécurité physique etc.
Outre les éléments de la culture de la sécurité, le processus de sécurité revêt d’une importance capitale. Il doit être permanent. Il faut développer un ensemble d’activités et mettre en place une veille de sécurité. En 2016, le nombre de nouvelles applications malveillantes pour Android a été recensé à 3,246,284. Aux Etats-unis, plus de 791 millions de cas de vol d’identité ont été enregistrés en 2016.
1.- Ne partagez pas des informations confidentielles sur un site qui n’est pas encrypté (avec un https);
2.- Ignorez les requêtes d’informations personnelles par email de sites non crédibles;
3.- Détruisez les documents inutiles contenant des informations d’identification;
4.- Créez des mots de passe robustes;
5.- Vérifiez toujours vos comptes et signalez tout cas de fraude.
JMA