Ethical Hacking :

Parer à toute éventualité

menaçant la sécurité de l’information
Reto Baumann, IBM Suisse*

La police, l’armée et les services de secours savent depuis longtemps que seuls des
exercices permanents et rigoureux permettent d’avoir les bons réflexes en situation
d’urgence. Identifier ses faiblesses lors de l’entraînement est indispensable si on
entend prévenir les problèmes lorsque l’enjeu est bien réel. L’informatique et la
sécurité de l’information n’échappent pas à la règle, elles qui sont soumises à des
attaques, études et tests dans le cadre de l’Ethical Hacking, formule opérationnelle on
ne peut plus indiquée .

Notre monde en réseaux nous rend de plus en plus tributaires d’une informatique
pleinement opérationnelle. En cas de panne ou d’attaque malveillante, il est crucial de réagir
rapidement et de façon appropriée, faute de quoi les entreprises risquent leur réputation
ainsi que d’importantes pertes financières. Les chiffres révèlent du reste une augmentation
de la cybercriminalité, avec selon la BBC une progression de plus de 50 pour cent des virus
connus en 2004. Cette tendance n’a en fait rien de nouveau puisque le nombre des
attaques et des virus augmente massivement chaque année. Si cette évolution n’étonn e
plus personne, et surtout pas les spécialistes informatiques, la recrudescence des
manœuvres criminelles au cours de l’année dernière est autrement plus préoccupante. Une
étude IBM montre ainsi que le nombre des attaques à l’encontre d’infrastructures dites
critiques tels que celles de fournisseurs divers, des entreprises de télécommunications et
des organisations étatiques a augmenté de 55 pour cent entre juillet et août 2004. La
cybercriminalité est entre-temps devenue un commerce florissant, les hackers et autres
créateurs de virus ayant pris conscience du fait que leurs agissements leur permettaient de
gagner pas mal d’argent. Les transactions et processus commerciaux dépendent de plus en
plus de l’informatique, au point que les exploitants et les clients ont plus que jamais besoin
d’outils fonctionnels. D’autre part, ces cibles deviennent cependant intéressantes pour ceux
qui les attaquent du fait que cette dépendance est synonyme de valeur monétaire
immédiate en cas de paralysie des systèmes.

Attaques généralisées sur les réseaux

Les attaques dirigées sur les cyberentreprises sont-elles des affabulations ? S’agit-il
uniquement de rumeurs venues des Etats-Unis et de groupes internationaux ?
Malheureusement pas. Les incursions perpétrées sur les systèmes sont aujourd’hui
monnaie courante, et il ne s’agit plus de se demander si on risque d’être attaqué, mais
plutôt à quel moment on sera la victime d’une telle opération. Selon les statistiques du
CSI/FBI, des préjudices à hauteur de 141 millions de dollars à mettre sur le compte de la
cybercriminalité ont été avancés l’année dernière rien que pour les Etats-Unis, et cette
somme ne prend pas en considération les dommages causés aux entreprises qui n’ont pas
remarqué les pénétrations réussies ou n’en ont pas fait état pour des raisons de prestige.
Les coûts effectifs devraient par conséquent être nettement plus élevés. Des entreprises a
priori peu importantes sont également attaquées car de nombreux criminels choisissent les
cibles opposant la moindre résistance. De plus, des outils automatiques passent l’Internet
au crible dans le but de dénicher de possibles victimes affichant des faiblesses connues.
Les attaques peuvent de ce fait toucher aussi bien des particuliers que des sociétés
internationales ou encore des PME. Des études réalisées par les spécialistes IBM de la
sécurité par le biais de « Honeypots », systèmes sciemment exposés sur Internet afin d’être
attaqués, ont montré qu’une installation Windows standard pouvait tomber en moins de 24
heures, sans compter les innombrables tentatives avortées.

Simulations plus vraies que nature

Il convient donc de s’entraîner afin de parer à toute éventualité, credo qui fait depuis
longtemps partie du quotidien auprès de la police, de l’armée et des services de sauvetage.
L’exercice intensif est ici la seule solution pour avoir la bonne réaction en situation réelle et
s’assurer par conséquent les résultats souhaités. On s’applique à répéter le scénario du «
coup dur » par le biais d’exercices les plus proches possible de la réalité, avec pour objectif
l’identification de faiblesses rédhibitoires, l’amélioration de la coordination au sein des
différents groupes ainsi que l’optimisation d’une stratégie.
En informatique, les interruptions de courant, les pannes de système ou les erreurs
applicatives soudaines font depuis longtemps partie du répertoire standard d’un scénario
d’urgence. Mais les attaques perpétrées par les virus, les vers informatiques ou les hackers
doivent également faire l’objet d’une simulation pour tester de façon optimale le niveau de
sécurité de l’infrastructure, se donnant la possibilité d’identifier les envahisseurs et de
préparer des équipes de crise. De telles mises à l’épreuves peuvent ainsi être effectuées
par le biais de ce qu’il est convenu d’appeler l’Ethical Hacking.

Hackers en toute légalité

La notion d’« Ethical Hacking » se réfère à un piratage « éthique », consistant à attaquer
des systèmes en toute légalité, sans intention de nuire et sur mandat de leurs propriétaires.
Les administrateurs systèmes ont pris conscience dès 1995 que des attaques « amicales »
sur leurs systèmes constituaient une méthode efficace pour l’identification de lacunes sur le
plan de la sécurité. SATAN (Security Administration Tool for Analyzing Networks) a en
l’occurrence été l’un des premiers logiciels à examiner les systèmes pour y déceler les
faiblesses connues. Aujourd’hui encore, de tels scanners de vulnérabilité constituent un
élément important d’une étude de sécurité, même si les professionnels de l’Ethical Hacking
vont désormais beaucoup plus loin et ne se contentent plus d’offrir aux clients des rapports
automatiquement générés par les scanners. Les spécialistes de la sécurité vont s’introduire
dans l’environnement informatique du client à l’instigation de ce dernier, cherchant à
contourner ou à déjouer les mécanismes de protection existants, voire à exploiter en leur
faveur des rapports de confiance ou des configurations inappropriées. On attaque aussi
bien les composantes réseau que les pare-feu et les routeurs, mais aussi les serveurs, les
stations de travail et les applications. Souvent, les méthodes de l’Ethical Hacking peuvent
être élargies avec le recours à l’ingénierie sociale, autrement dit l’exploitation des faiblesses
humaines, voire aux composeurs d’attaques (« war dialing »), sans oublier les technologies
sans fil telles que les Wireless LAN ou Bluetooth.

Des expériences issues de la pratique

On ne cesse de constater sur le terrain l’existence de failles considérables au niveau de la
sécurité. Souvent, on utilise en tant que machine de production un ancien système conçu
pour des tests, sans avoir adapté en conséquence le niveau de sécurité. Il arrive de même
fréquemment qu’on court-circuite certaines fonctions de sécurité dans le cadre de tests,
oubliant de réactiver ces dernières une fois les essais terminés, se retrouvant alors avec un
système quasiment sans défense. Les nouvelles technologies telles que les réseaux sans fil
offrent sans qu’on le soupçonne des portes dérobées et autres possibilités d’attaque. Enfin,
on constate malheureusement trop souvent que les administrateurs systèmes et réseaux,
chroniquement débordés, ne prêtent pas toute l’attention requise à la question de la
sécurité. Des composantes importantes sont souvent mal configurées ou insuffisamment
protégées, par ignorance ou manque de temps. Autant de problèmes qu’un Ethical Hack
permet de révéler tout en s’attachant à les résoudre.

Question de confiance
Les Ethical Hacks menés de façon professionnelle sont aujourd’hui des méthodes efficaces
afin d’identifier suffisamment tôt les faiblesses de la sécurité informatique. On procède ici à
des attaques en règle sur des cibles bien réelles et dans des conditions contrôlées. La
procédure correspond à celle d’une véritable agression avec les outils et panoplies
logicielles des éditeurs les plus en vue, mais aussi tout l’instrumentaire des hackers afin de
pouvoir ratisser aussi large que possible. Sur le marché, les services d’Ethical Hacking sont
proposés par des entreprises diverses et ont traditionnellement été effectués par de
grandes sociétés d’audits telles que PWC, KPMG ou Ernst & Young. Grâce à leur longues
années d’activité et à de nombreux projets client, les prestataires informatiques opérant sur
une scène internationale à l’instar d’IBM possèdent eux aussi un savoir-faire considérable
au niveau de la sécurité, offrant des études ad hoc parmi leurs prestations de conseil. Enfin,
des entreprises de moindre importance s’imposent aussi de plus en plus sur le marché des
études de sécurité et de l’Ethical Hacking. A l’heure du choix, il convient cependant de se
rappeler que les spécialistes, s’ils parviennent à leurs fins, ont accès aux dossiers de
recherche secrets ou aux données clients confidentielles. La confiance envers un
prestataire devrait donc jouer un rôle essentiel lors de la sélection.

Amélioration durable de la sécurité informatique

Que peut attendre une entreprise d’une mesure d’Ethical Hacking effectuée dans les règles
de l’art ? Cette démarche permet de confier à un tiers l’observation, l’analyse et l’évaluation
de la sécurité informatique, sujet normalement traité en interne. Outre le fait d’être informée
dans les détails d’éventuelles lacunes techniques, l’entreprise pourra aussi se faire une
image pertinente des risques commerciaux liés à ces faiblesses , au moyen de constats
fondés sur la disponibilité de l’information, l’accès aux données confidentielles ou encore les
modifications de données passées inaperçues. Un important avantage de l’Ethical Hacking
réside dans la nature des vérifications pratiques allant au-delà des analyses théoriques.
L’exercice fournit d’ailleurs, le cas échéant, un « Proof of Concept », c’est-à-dire l’attestation
d’une attaque réussie, tandis qu’un rapport détaillé et une discussion finale mettent en
lumière les possibilités de parer aux risques identifiés. L’Ethical Hacking correspond ainsi à
un audit technique, présentant des solutions rapides pour améliorer immédiatement la
sécurité, ainsi que des actions et stratégies à court et moyen terme afin d’optimiser
durablement la protection des données et systèmes au sein de l’entreprise.

L’entraînement est important, nous en sommes tous conscients. Une opération d’Ethical
Hacking constitue ainsi un exercice hautement efficace révélant les atouts et les faiblesses
de la sécurité informatique, permettant dès lors d’engager immédiatement des mesures
destinées à améliorer cette dernière. Dans notre monde couvert de réseaux et fortement
axé sur l’informatique, la sécurité n’est pas un élément facultatif, mais une condition
absolument nécessaire si l’on souhaite garantir à terme la réussite des affaires.

* Spécialiste de la sécurité informatique et « Ethical Hacker » auprès du groupe de technologie et de services

IBM, Reto Baumann s’illustre particulièrement au niveau de la vérification technique de la sécurité informatique
ainsi que de la conception et l’implémentation de solutions de sécurité dans le domaine du scanning de la
vulnérabilité, des bilans de santé informatique et de la sécurité réseau. Informaticien diplômé de l’EPFZ, Reto
Baumann est certifié en tant que Firewall Analyst (GCFW), Intrusion Analyst (GCIA) et Security Specialist
(GSEC). Il est également membre du GIAC Advisory Board.