Des compagnies des eaux amricaines font lobjet de piratage. Lune des raisons qui ressort des rapports est loubli des responsables scurit de modifier les mots de passe par dfaut configurs sur 1111. Le tableau qui intervient dans un contexte global de multiplications des cyberattaques ne surprend pas : le piratage de lentreprise amricaine Solarwinds en est une illustration. Il questionne plutt sur ce qui ressort dsormais de plus en plus comme la ngligence de laspect scurit par les organisations et les entreprises.
Loubli de modification des mots de passe par dfaut a conduit la divulgation de secrets militaires par le pass
En 2018, Les manuels de maintenance d’un drone MQ-9 ainsi que de la documentation militaire supplmentaire sont apparus sur les tals du darknet. La firme de scurit lorigine de linformation avait attest de lauthenticit des documents proposs pour des sommes variant de 150 200 $.
Tout tait parti de la mauvaise configuration dun routeur comme rapport par Future Recorded de ses changes avec le pirate. Ce dernier stait appuy sur une vulnrabilit divulgue en 2016 propos des Netgear Nighthawk R7000. Si les utilisateurs ne modifient pas les identifiants par dfaut pour laccs aux fonctionnalits de partage de fichiers, les informations disponibles sur les supports de stockage connects ces routeurs sont visibles depuis lextrieur , crivait le site sfgate. En faisant usage du moteur de recherche shodan, lintrus avait pu reprer des milliers de dispositifs vulnrables, dont celui dun officier de larme amricaine sur une base du Nevada. Il avait ensuite procd la pntration desdits systmes en se servant d aptitudes techniques modres. Le pirate a agi seul et a t capable didentifier et exploiter toutes ces failles en une semaine , selon certains rapports.
Les organisations ignorent les recommandations de leurs responsables en matire de scurit dans certains cas
Un conseiller en scurit de Solarwinds avait averti la direction des risques lis la cyberscurit et avait labor un plan il y a des annes pour les amliorer. Une prsentation PowerPoint de 23 fait tat de ce que Thornton-Trump a recommand aux dirigeants de l’entreprise en 2017 que SolarWinds nomme un directeur principal de la cyberscurit afin de sengager dans une stratgie interne en matire de scurit. Le conseiller en scurit a remis le PowerPoint au moins trois dirigeants de SolarWinds, tant du ct du marketing que de la technologie de la socit.
Le mois suivant, il mettait fin sa relation avec l’entreprise. Dans un e-mail qu’il a envoy un dirigeant de SolarWinds le 15 mai 2017, qui expliquait les raisons de son dpart, Thornton-Trump avait expliqu avoir perdu confiance dans le leadership de l’entreprise, qui selon lui semblait rticent apporter les corrections qu’il jugeait ncessaires pour continuer soutenir la marque de scurit qu’il avait cre chez LogicNow.
Il y avait un manque de scurit au niveau du produit technique et il y avait un leadership minimal en matire de scurit au sommet , avait dclar Thornton-Trump dans une interview. Nous savions en 2015 que les pirates cherchaient n’importe quelle voie vers une entreprise. Mais SolarWinds ne s’est pas adapt. C’est a la tragdie. Il y avait beaucoup de leons apprendre, mais SolarWinds ne prtait pas attention ce qui se passait.
Ctait avant que 200 clients de la socit SolarWinds, dont des agences gouvernementales amricaines – le Dpartement d’tat, le DHS, le Trsor, le Dpartement du Commerce et mme l’Administration nationale de la scurit nuclaire – et un nombre encore inconnu d’entreprises prives, y compris Microsoft et FireEye, ne voient leurs rseaux informatiques infects par des pirates informatiques.
Certains pays estiment que ce sont les constructeurs qui doivent adapter le matriel aux contraintes actuelles en matire de cyberscurit
En effet, le Royaume-Uni prvoit de protger ses citoyens contre les pirates des mots de passe avec l’adoption d’une loi visant interdire les mots de passe universels par dfaut.
Le Parlement a t convoqu pour lexamen du projet de loi sur la scurit des produits et l’infrastructure des tlcommunications (PSTI). Celui-ci stipule que le gouvernement a le pouvoir d’interdire les mots de passe par dfaut pour les appareils connects Internet. La proposition de loi adopte invite les entreprises qui vendent des appareils faire preuve de transparence vis–vis de leurs clients en leur indiquant les mesures qu’elles prennent pour les protger des cybercriminels.
Les fabricants de dispositifs connects sont dsormais censs indiquer clairement leurs clients, avant de leur vendre le produit, la dure minimale pendant laquelle ils recevront les mises jour de scurit. Le gouvernement estime que cette information aidera les clients prendre de meilleures dcisions lorsqu’ils choisiront le meilleur produit pour eux
l’avenir, les fabricants seront tenus de faciliter la tche des rapporteurs de bogues pour qu’ils puissent signaler leurs dfauts, s’ils en trouvent, en donnant un point de contact public. Une fois le projet de loi mis en pratique, il sera supervis par le rgulateur qui aura tous les droits de faire payer les entreprises qui ne respectent pas les rgles. Le rgulateur aura galement le pouvoir d’mettre des avis aux entreprises, voire de les obliger cesser de vendre leurs produits.
Les technologies dites rtro peuvent-elles savrer tre de meilleurs gages de scurit ?
Lvocation de cette approche nest pas sans faire penser (et pourrait mme sinspirer) de la civilisation dhumains des Douze Colonies dans la srie BattleStar Galactica. En guerre cyberntique contre les Cylons, ces derniers se sont appuys sur des technologies rtro pour se protger contre les systmes informatiques largement suprieurs de leurs assaillants. Hors de toute fiction, il faut dire que cest ce schme sur lequel des systmes actuels sappuient. De nos jours, lun des arguments de vente des appareils que lon dit respectueux de la vie prive est dintgrer des interrupteurs manuels. Le Librem 5 par exemple est un smartphone GNU/Linux muni de 3 kill switches pour dsactiver le WiFi, le rseau cellulaire, le microphone et les camras, le GPS des canaux par lesquels des tiers malveillants peuvent empiter dans la vie prive des possesseurs. Mme si seule la dclaration dApple fait foi, le gant de la marque la pomme assure que tous les modles de MacBook quips de la puce de scurit T2 sont dots dun mcanisme de dconnexion matrielle du micro.
Le mcanisme de dconnexion est implment au niveau matriel et par consquent empche toutes les applications mme celles dotes de privilges root dans macOS et le logiciel de la puce T2 dactiver le microphone lorsque le capot est ferm , indiquait Apple en fin danne 2018.
Lattaque aurait pu tre plus dvastatrice si lUkraine ne stait pas appuye sur des technologies manuelles pour le fonctionnement de son rseau dnergie , soulignent des snateurs amricains. Cest pour cette raison que les USA envisagent disoler des sections critiques de leur infrastructure en sappuyant sur des technologies rtro et, trs important, sur laction humaine.
J’ai des sentiments mitigs ce sujet. D’une certaine faon, c’est une bonne ide, mais la diabolisation du numrique est malavise. Certains d’entre nous savent comment construire du matriel et des logiciels numriques scuriss, mais il n’y a aucune incitation pour les entreprises insister sur de telles conceptions, et il y a de nombreux facteurs qui les dcouragent activement de le faire. Il faut modifier la structure d’incitation pour rgler ce problme, puis la technologie suivra. Dmoniser une technologie c’est faire fi des inconvnients sur le long terme et cest mme un danger , a lanc un internaute.
Source : US Cybersecurity and Infrastructure Agency (CISA)
Et vous ?
Comment expliquer que des tiers continuent de semparer aussi facilement de donnes sensibles au sein dadministrations de ces calibres par des temps aussi marqus par des cyberattaques en tous genres ? Ngligence ?
Qui des responsables en matire de scurit ou des constructeurs de dispositifs connects Internet est le plus blmer dans ces cas de piratage ?
Partagez-vous certains avis selon lesquels les constructeurs doivent adapter leur matriel aux contraintes actuelles en matire de cyberscurit ?
Prenez-vous particulirement les alertes scurit au srieux ? Sinon, quels dispositifs continuez-vous de garder vulnrables en faisant fi des rgles de base en la matire ?
Voir aussi :