CYBER SENTINELLA

Les aéroports ne sont-ils pas protégés correctement, malgré les millions investis ? Certainement, ils le sont. Mais, dans le cyber, c'est comme dans la "real life" : la sécurité "100%" n'existe pas. Et les sauvegardes n'empêchent pas le chaos, comme démontré ici :

Selon les renseignements avisés, d’autres attaques vont suivre, un peu partout… dans le seul but de générer encore plus de chaos.

2. Tout est perfectible, y compris notre sécurité informatique

Le récents pentests ont confirmé ce qu'on savait déjà : on a fait ce qu'il faut et, maintenant, on est bloqués pour monter le niveau de sécurité, à cause de serveurs obsolètes qu'on doit garder pour l'historique (écritures comptables, données anciennes, etc.) et qu'on ne peut pas upgrader à cause des logiciels qu'ils hébergent et qui ne sont plus maintenus par les éditeurs. Ce n'est pas un défaut, seulement un contrainte de fonctionnement. Lesdits serveurs seront bientôt isolés de l'Active Directory Windows. Ce truc, « Active Directory », c'est un genre d'annuaire, couplé à un ensemble d'outils de Microsoft qui permettent, dans un environnement professionnel, de gérer les machines et les logiciels du parc informatique. C'est aussi grâce à cela qu'on sait l’heure d'extinction des machines (Cf. paragraphe 6).

Vendredi, on a annoncé que le commissariat aux comptes avait fait un test d'intrusion récemment, à l’insu de la DSI. Vous avez été nombreux à me demander des précisions. Je fais ici une petite synthèse. 

Une équipe de "hackers éthiques" missionnés par les commissaires aux comptes, soi-disant des "stagiaires", est restée toute une semaine au siège, fin juillet. D'emblée, l'équipe technique avait senti que les deux individus avait un comportement suspect. D'abord, ils ont tenté d'entrer par le WIFI du réseau interne, comme annoncé dans notre mail d'alerte en date du jeudi 24 juillet dernier. Et, le dernier soir, toujours cachés dans un bureau de la Direction, et en utilisant une machine de l'entreprise (sinon on ne passe pas à cause de la sécurité 802.1X), ils ont fait une action qui a déclenché une alarme "YALFEUAULAC" (alarme de très haute gravité). Les alarmes sérieuses sont relayées par SMS et, aussitôt, j'ai téléphoné au DSI qui m'a dit ne rien savoir à ce sujet. Alors, en quelques minutes, je suis retourné au siège et, alors qu'on fonçait, le DSI et moi, vers le bureau où se trouvait la machine à l'origine de l'alerte, nous avons croisé le Directeur qui nous a dit qu'il s'agissait d'un pentest. Les « faux stagiaires » savent maintenant qu'on rapplique immédiatement en cas d'urgence, même en HNO (heures non ouvrées), dans les cinq minutes, car le DSI et le RSSI résident à proximité du siège de l'entreprise. Et on bouge même le dimanche si le compteur des tentatives d'intrusions (logiciel maison) indique une forte valeur, comme cela a été le cas ce matin aussi (213 tentatives d'intrusions par seconde). Quand c’est calme, il y en a une quarantaine par seconde. 

S'agissant des contraintes liées à la "production" ou aux besoins de l'entreprise, nous avons mis en place d'autres protections, dans le but de ralentir les tentatives d’intrusions. Car c'est la seule technique réellement efficace selon les gendarmes. En effet, dans le monde "cyber" aussi, il faut des portes qui résistent assez longtemps. Quant aux "contraintes", cela concerne également les outils informatiques... dont certains ne seront (peut-être) bientôt plus disponibles...

3. Parmi les outils qui ne seront bientôt plus disponibles, il y a "VMware". 

"VMware", c'est le principal outil de virtualisation. Pour simplifier : les salles informatiques gigantesques et énergivores, qui existaient encore il y a quelques dizaines d'années, ont été remplacées par quelques gros serveurs physiques contenant "logiciellement" les "boites" que sont les serveurs virtuels... des serveurs "logiciels" fonctionnant exactement comme des serveurs "matériels", mais sans les inconvénients (pas de boitiers = gain de place, gestion facilitée, économie d'énergie...).

Récemment, les dirigeants de VMware auraient-ils cédé à l'offre de rachat par l'entreprise BROADCOM qui, elle, ne voudrait garder que les très (très) gros clients, à qui elle ferait 50% de remise pour compenser les augmentations qu'elle imposerait aux autres clients, les plus petits, afin de les inciter à partir, selon les dires d'un de nos prestataires, grand spécialiste de la virtualisation ? Et pour BROADCOM, même notre belle entreprise serait un petit client ? Dans un premier temps, les entreprises n'ont pas le choix : elles doivent payer. Puis, elles prendront le temps de réfléchir et réagir. On a une visibilité à deux ans. 

Pendant les vingt dernières années, quasiment toutes les entreprises ont passé le cap de la virtualisation, qui est un outil génial. Et cet outil pourrait subitement disparaître, à l'usage exclusif de quelques entreprises gigantesques. C'est un virage qu'on va devoir gérer pendant les cinq prochaines années, comme toutes les autres entreprises, à l'échelle internationale. Pour l'instant, il n'y a aucune alternative dite "professionnelle", comme l'ont confirmé nos prestataires spécialistes de la virtualisation, qui sont dans le désarroi, comme leurs clients. Dans les deux ans, une solution sera trouvée, probablement par certains grands constructeurs, comme HP qui y travaille déjà. Si elles ont des informaticiens capables, les toutes petites entreprises pourront se rabattre sur ProxMox, un outil de virtualisation efficace et OpenSource, mais n'offrant pas les garanties dites "professionnelles", pour l'instant. Dans tous les cas, on passera cette épreuve aussi. Il le faudra.

4. "Tous les vendredis, ma machine rame."

Un Directeur m'a fait part de ce problème : quand l'antivirus fait sa MAJ, le vendredi à midi, certaines machines deviennent  tellement lentes qu'elles sont inutilisables. D'abord, ce n'est pas la faute de la DSI, contrairement à ce qui a été dit. C'est celle du serveur TREND (antivirus) qui pousse la MAJ automatique sur tous les ordinateurs. J'ai transmis l'info à l'équipe technique et une solution sera trouvée rapidement, même temporaire, car... TREND, c'est bientôt fini. Un autre produit va arriver bientôt, plus performant encore.

5. "Mon smartphone chauffe tout le temps."

Un smartphone qui chauffe "tout le temps"... c'est suspect car c'est souvent le signe d'une grosse activité : soit il s'agit d'une appli "voulue", qui tourne en tâche de fond (WAZE par exemple) ; soit c'est un programme caché (espion). Souvent, c'est la première option. Dans tous les cas, n'hésitez pas à faire un ticket à l'équipe technique.

6. "Des fois, je ne peux pas éteindre l'ordinateur le soir car j'ai trop de fichiers ouverts. Alors je le mets en "veille prolongée."

Ici, je peux révéler un petit secret informatique : pour savoir si un ordinateur s'est éteint correctement, il suffit d'interroger l'un des contrôleurs de domaine (Cf. paragraphe 2) en demandant quelles sont les machines dont la date d'extinction est supérieure à une semaine. En effet, quand une machine est mise en « veille prolongée », elle est "endormie" et, donc, elle ne peut répondre au scanners de réseau, qui ne la détectent pas. Cependant, lors de l'extinction, les machines ferment toutes les applications et... communiquent avec les contrôleurs de domaine, notamment pour dire qu'elles s'éteignent. Et le contrôleur de domaine enregistre l'heure d'extinction.

Une machine "en veille prolongée" ne consomme quasiment pas de courant et elle est insensible aux programmes parasites qui peuvent trainer sur le réseau informatique la nuit... puisqu'elle "dort". Donc, de ce côté, ça va. MAIS, quand elle est en veille, les mises-à-jour "système" (Windows) ne se font pas, car c'est au démarrage que cela se passe... pas au réveil. Et une machine "pas à jour" est encore plus « à risque » que les autres.

C'est la raison pour laquelle, je demande, s'il vous plait :
•    Les machines ayant un seul utilisateur doivent être redémarrées une fois par semaine, au pire. Idéalement, il faut l'éteindre (pas "mise en veille") chaque soir.
•    Les machines ayant plusieurs utilisateurs (fonctionnant 24h/24) doivent être redémarrées à chaque prise de poste.

La Direction a autorisé l'extinction distante (forcée) des machines restées allumées. Alors, ne soyez pas étonnés de trouver votre machine éteinte le matin, car un script de l'équipe technique s’exécute la nuit et éteint toutes les machines restées allumées. Ainsi, il n’y a plus de risque qu’elles deviennent des « zombies » nocturnes, sous le contrôle de programmes pirates. Quant à la date de dernier arrêt des machines, ce sont les contrôleurs de domaine qui le diront ;-)

7. Chacun participe, même un peu, et tout ira bien.

Le monde actuel (pas seulement cyber) peut paraître anxiogène, mais c'est la réalité du monde d'aujourd'hui. Et les évènements politiques ont des répercutions quasi immédiates sur les risques informatiques, à cause de quelques énervés qui ont un haut pouvoir de nuisance, notamment dans le fragile secteur de l'informatique : arrachage de câbles sous-marins, gigantesques attaques informatiques, sabotage des communications satellites, etc.

Dans ce tumulte international, un individu ne peut pas faire grand-chose, probablement. Mais, dans notre périmètre, nous pouvons agir, pour défendre l'informatique de notre entreprise. Et c’est déjà un gros travail. Car, même si le risque de destruction totale de nos ressources informatiques est peu probable grâce à nos sécurités actuelles, le risque de paralysie de l’entreprise par le blocage informatique est possible, comme pour toutes les autres entreprises, quelle que soit leur taille, y compris dans les aéroports, comme annoncé au début de ce mail.

Alors, restons vigilants... et, surtout, éteignons correctement les ordinateurs le soir ;-)

Cela sera une bonne chose, déjà. Le reste, on s'en occupe, en plus du travail qui se profile, notamment avec les nouvelles directives européennes (la sécurité informatique étant devenue une grande priorité européenne), sans oublier les éventuels « sinistres ». 

On fera chaque chose en son temps, méthodiquement. Ca va aller.

A priori, ce serait encore à cause d'un prestataire... Les prestas, moins on en a, mieux on se porte ;-)