Risque (informatique)
Il existe de nombreux risques en sécurité du système d’information, qui évoluent d’année en année.
Ne doit pas être confondu avec Cybercrime.
Mesure des risques
Il importe de mesurer ces risques, non seulement en fonction de la probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant leurs effets possibles. Ces effets, selon les circonstances et le moment où ils se manifestent, peuvent avoir des conséquences négligeables ou catastrophiques. Parfois, le traitement informatique en cours échoue, il suffit de le relancer, éventuellement par une autre méthode si on craint que la cause ne réapparaisse ; parfois l’incident est bloquant et on doit procéder à une réparation ou une correction avant de poursuivre le travail entrepris. Mais ces mêmes incidents peuvent avoir des conséquences beaucoup plus fâcheuses :
- données irrémédiablement perdues ou altérées, ce qui les rend inexploitables ;
- données ou traitements durablement indisponibles, pouvant entraîner l’arrêt d’une production ou d’un service ;
- divulgation d’informations confidentielles ou erronées pouvant profiter à des sociétés concurrentes ou nuire à l’image de l’entreprise ;
- déclenchement d’actions pouvant provoquer des accidents physiques ou induire des drames humains.
À l’ère de la généralisation des traitements et des échanges en masse, on imagine assez bien l’impact que pourraient avoir des événements majeurs comme une panne électrique de grande ampleur ou la saturation du réseau Internet pendant plusieurs heures.
Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés et il existe des parades pour la plupart d’entre eux. On peut citer en exemple les précautions prises peu avant l’an 2000 qui, même si la réalité du risque a parfois été (et reste aujourd’hui) controversée, ont peut-être évité de graves désagréments.
Chaque organisation, mais aussi chaque utilisateur, a tout intérêt à évaluer, même grossièrement, les risques qu’ils courent et les protections raisonnables qu’ils peuvent mettre en œuvre. Dans le monde professionnel, les risques et les moyens de prévention sont essentiellement évalués en raison de leurs coûts. Il est par exemple évident qu’une panne qui aurait pour conséquence l’arrêt de la production d’une usine pendant une journée mérite qu’on consacre pour la prévenir une somme égale à une fraction de la valeur de sa production quotidienne ; cette fraction sera d’autant plus importante que la probabilité et la fréquence d’une telle panne sont élevées.
Risques humains
Les risques humains sont les plus importants, même s’ils sont le plus souvent ignorés ou minimisés. Ils concernent les utilisateurs mais également les informaticiens eux-mêmes.
- La maladresse : comme en toute activité, les humains commettent des erreurs ; il leur arrive donc plus ou moins fréquemment d’exécuter un traitement non souhaité, d’effacer involontairement des données ou des programmes, etc.
- L’inconscience et l'ignorance : de nombreux utilisateurs d’outils informatiques sont encore inconscients ou ignorants des risques qu’ils encourent aux systèmes qu’ils utilisent, et introduisent souvent des programmes malveillants sans le savoir. Des manipulations inconsidérées (autant avec des logiciels que physiques) sont aussi courantes.
- La malveillance : aujourd’hui, il serait quasiment inconcevable de prétexter l’ignorance des risques sus-cités, tant les médias ont pu parler des différents problèmes de virus et de vers ces dernières années (même s’ils ont tendance, en vulgarisant, à se tromper sur les causes et les problèmes). Ainsi, certains utilisateurs, pour des raisons très diverses, peuvent volontairement mettre en péril le système d’information, en y introduisant en connaissance de cause des virus (en connectant par exemple un ordinateur portable sur un réseau d’entreprise), ou en introduisant volontairement de mauvaises informations dans une base de données. De même il est relativement aisé pour un informaticien d’ajouter délibérément des fonctions cachées lui permettant, directement ou avec l’aide de complices, de détourner à son profit de l’information ou de l’argent.
- L’ingénierie sociale : l’ingénierie sociale (social engineering en anglais) est une méthode pour obtenir d’une personne des informations confidentielles, que l’on n'est pas normalement autorisé à obtenir, en vue de les exploiter à d’autres fins (publicitaires par exemple). Elle consiste à se faire passer pour quelqu’un que l’on n'est pas (en général un administrateur) et de demander des informations personnelles (nom de connexion, mot de passe, données confidentielles, etc.) en inventant un quelconque prétexte (problème dans le réseau, modification de celui-ci, heure tardive, etc.). Elle peut se faire soit au moyen d’une simple communication téléphonique, soit par courriel, soit en se déplaçant directement sur place.
- L’espionnage : l’espionnage, notamment industriel, emploie les mêmes moyens, ainsi que bien d’autres (influence), pour obtenir des informations sur des activités concurrentes, procédés de fabrication, projets en cours, futurs produits, politique de prix, clients et prospects, etc.
- Le détournement de mot de passe : un administrateur système ou réseau peut modifier les mots de passe d’administration lui permettant de prendre le contrôle d'un système ou d’un réseau. (voir le cas de Terry Childs).
- Le sabotage : il vise la mise hors service d’un SI ou de l'une de ses composantes en portant atteinte à l'intégrité des données et surtout à la disponibilité des services.
- L’écoute : elle consiste à se placer sur un réseau informatique ou de télécommunication pour collecter et analyser les informations ou les trames qui y circulent.
- La fraude physique : elle consiste à accéder à l'information par copie illégale des supports physiques (bandes magnétiques, disquettes, disques classiques ou optiques, listings rangés ou abandonnés imprudemment dans les bureaux, armoires, tiroirs...).
- L’interception : c’est un accès avec modification des informations transmises sur les voies de communication avec l’intention de détruire les messages, de les modifier, d’insérer des nouveaux messages, de provoquer un décalage dans le temps ou la rupture dans la diffusion des messages.
- Le vol de matériels : concerne les ordinateurs et en particulier les ordinateurs portables.
- L’analyse de supports recyclés ou mis au rebut : "fouille" des poubelles ou des archives d’une organisation ou détournement des processus de maintenance.
- Le chantage : menace exercée vis-à-vis d'une personne privée ou d'une organisation en vue d’extorquer une information « sensible ».
- L’abus de droit : caractérise le comportement d’un utilisateur bénéficiaire de privilèges systèmes et/ou applicatifs qui les utilise pour des usages excessifs, pouvant conduire à la malveillance.
- L’accès illégitime : lorsqu’une personne se fait passer occasionnellement pour une autre en usurpant son identité.
- Le déguisement : désigne le fait qu’une personne se fait passer pour une autre de façon durable et répétée en usurpant son identité, ses privilèges ou les droits d'une personne visée.
- Le rejeu : variante du déguisement qui permet à un attaquant de pénétrer un SI en envoyant une séquence de connexion d'un utilisateur légitime et enregistrée à son insu.
- La substitution : sur des réseaux comportant des terminaux distants, l’interception des messages de connexion-déconnexion peut permettre à un attaquant de continuer une session régulièrement ouverte sans que le système ne remarque le changement d’utilisateur.
- Le faufilement : cas particulier où une personne non autorisée franchit un contrôle d’accès en même temps qu'une personne autorisée.
- Le reniement (ou répudiation) : consiste pour une partie prenante à une transaction électronique à nier sa participation à tout ou partie de l'échange d'informations, ou à prétendre avoir reçu des informations différentes (message ou document) de ceux réputés avoir été réalisés dans le cadre du SI.
Dans les approches de type ingénierie des connaissances, le capital humain est considéré comme l’une des trois composantes du capital immatériel de l’entreprise.
Risques techniques
Les risques techniques sont tout simplement ceux liés aux défauts et pannes inévitables que connaissent tous les systèmes matériels et logiciels. Ces incidents sont évidemment plus ou moins fréquents selon le soin apporté lors de la fabrication et des tests effectués avant que les ordinateurs et les programmes ne soient mis en service. Cependant les pannes ont parfois des causes indirectes, voire très indirectes, donc difficiles à prévoir.
- Incidents liés au matériel : si on peut le plus souvent négliger la probabilité d'une erreur d'exécution par un processeur (il y eut néanmoins une exception célèbre avec l’une des toutes premières générations du processeur Pentium d’Intel qui pouvait produire, dans certaines circonstances, des erreurs de calcul), la plupart des composants électroniques, produits en grandes séries, peuvent comporter des défauts et finissent un jour ou l'autre par tomber en panne. Certaines de ces pannes sont assez difficiles à déceler car intermittentes ou rares.
- Incidents liés au logiciel : ils sont de très loin les plus fréquents ; la complexité croissante des systèmes d’exploitation et des programmes nécessite l’effort conjoint de dizaines, de centaines, voire de milliers de programmeurs. Individuellement ou collectivement, ils font inévitablement des erreurs que les meilleures méthodes de travail et les meilleurs outils de contrôle ou de test ne peuvent pas éliminer en totalité. Des failles permettant de prendre le contrôle total ou partiel d’un ordinateur sont régulièrement rendues publiques et répertoriées sur des sites comme SecurityFocus ou Secunia. Certaines failles ne sont pas corrigées rapidement par leurs auteurs (cf les listes actualisées des « unpatched vulnerabilities » sur Secunia[1]). Certains programmes sont conçus pour communiquer avec internet et il n'est donc pas souhaitable de les bloquer complètement par un pare-feu (navigateur web par exemple).
- Incidents liés à l’environnement : les machines électroniques et les réseaux de communication sont sensibles aux variations de température ou d'humidité (tout particulièrement en cas d’incendie ou d’inondation) ainsi qu’aux champs électriques et magnétiques. Il n’est pas rare que des ordinateurs connaissent des pannes définitives ou intermittentes à cause de conditions climatiques inhabituelles ou par l'influence d'installations électriques notamment industrielles (et parfois celle des ordinateurs eux-mêmes).
Pour s’en prémunir, on recourt généralement à des moyens simples bien que parfois onéreux :
- Redondance des matériels : la probabilité ou la fréquence de pannes d’un équipement est représentée par un nombre très faible (compris entre 0 et 1, exprimé sous la forme 10-n). En doublant ou en triplant (ou plus) un équipement, on divise le risque total par la probabilité de pannes simultanées. Le résultat est donc un nombre beaucoup plus faible ; autrement dit l'ensemble est beaucoup plus fiable (ce qui le plus souvent reporte le risque principal ailleurs).
- Dispersion des sites : Un accident (incendie, tempête, tremblement de terre, attentat, etc.) a très peu de chance de se produire simultanément en plusieurs endroits distants.
- Programmes ou procédures de contrôle indépendants : ils permettent bien souvent de déceler les anomalies avant qu’elles ne produisent des effets dévastateurs.
Risques juridiques
L’ouverture des applications informatiques par le web et la multiplication des messages électroniques augmentent les risques juridiques liés à l'usage des technologies de l'information. On peut citer notamment :
- Le non-respect de la législation relative à la signature numérique ;
- Les risques concernant la protection du patrimoine informationnel ;
- Le non-respect de la législation relative à la vie privée ;
- Le non-respect des dispositions légales relatives au droit de la preuve, dont les conditions d'application en droit civil sont différentes de celles de la common law, et une mauvaise gestion des documents d'archive.
Liste des risques
Attention, les risques évoluant jour après jour, cette liste n'est pas exhaustive.
Programmes malveillants
Un logiciel malveillant (malware en anglais) est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants :
- Le virus : programme se dupliquant sur d’autres ordinateurs ;
- Le ver (worm en anglais) : exploite les ressources d’un ordinateur afin d’assurer sa reproduction ;
- Le wabbit : programme qui se réplique par lui-même (mais qui n'est ni un virus, ni un ver) ;
- Le cheval de Troie (trojan en anglais) : programme à apparence légitime (voulue) qui exécute des routines nuisibles sans l’autorisation de l’utilisateur ;
- La porte dérobée (backdoor en anglais) : ouvreur d'un accès frauduleux sur un système informatique, à distance ;
- Le logiciel espion (spyware en anglais) : collecteur d'informations personnelles sur l’ordinateur d’un utilisateur sans son autorisation, et en envoyant celles-ci à un organisme tiers ;
- L’enregistreur de frappe (keylogger en anglais) : programme généralement invisible installé sur le poste d’un utilisateur et chargé d’enregistrer à son insu ses frappes clavier ;
- L’exploit : programme permettant d’exploiter une faille de sécurité d'un logiciel ;
- Le rootkit : ensemble de logiciels permettant généralement d’obtenir les droits d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations susceptibles de révéler la compromission, et d’effacer les traces laissées par l’opération dans les journaux système ;
- Le facticiel : logiciel factice disposant de fonctions cachées ;
- Le piégeage de logiciel : des fonctions cachées sont introduites à l’insu des utilisateurs à l’occasion de la conception, fabrication, transport ou maintenance du SI ;
- La bombe : programme dormant dont l'exécution est conditionné par l’occurrence d’un événement ou d’une date.
- Le publiciel (adware en anglais) : un logiciel qui affiche de la publicité lors de son utilisation.
Techniques d'attaque par messagerie
En dehors des nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques à celle-ci :
- Le pourriel (spam en anglais) : un courrier électronique non sollicité, la plupart du temps de la publicité. Ils encombrent le réseau, et font perdre du temps à leurs destinataires ;
- L’hameçonnage (phishing en anglais) : un courrier électronique dont l’expéditeur se fait généralement passer pour un organisme officiel (comme une banque, opérateur, ou autre) et demandant au destinataire de fournir des informations confidentielles ;
- Le canular informatique (hoax en anglais) : un courrier électronique incitant généralement le destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils encombrent le réseau, et font perdre du temps à leurs destinataires. Dans certains cas, ils incitent l’utilisateur à effectuer des manipulations dangereuses sur son poste (suppression d'un fichier prétendument lié à un virus par exemple).
Attaques sur le réseau
Voici les principales techniques d'attaques sur le réseau :
- Le sniffing : technique permettant de récupérer toutes les informations transitant sur un réseau (on utilise pour cela un logiciel sniffer). Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications, et pour identifier les machines qui communiquent sur le réseau.
- L'usurpation d'IP (en anglais spoofing) : technique consistant à prendre l’identité d'une autre personne ou d'une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles, que l’on ne pourrait pas avoir autrement.
- La perturbation : vise à fausser le comportement du SI ou à l’empêcher de fonctionner comme prévu (saturation, dégradation du temps de réponse, génération d’erreurs…).
- Le réseau de robots logiciels (Botnet) : réseau de robots logiciels installés sur des machines aussi nombreuses que possible. Les robots se connectent sur des serveurs IRC (Internet Relay chat) au travers desquels ils peuvent recevoir des instructions de mise en œuvre de fonctions non désirées. (envoi de spams, vol d'information, participation à des attaques de saturation…).
- Le brouillage : c’est une attaque de haut niveau qui vise à rendre le SI inopérant.
- L’interception de signaux compromettants : l’attaquant tente de récupérer un signal électromagnétique pour l’interpréter et en déduire des informations utilisables.
- Le déni de service (en anglais denial of service) : technique visant à générer des arrêts de service, et ainsi d’empêcher le bon fonctionnement d’un système.
Et d’autres techniques plus subtiles :
- Hijacking
- Attaque de l'homme du milieu (MITM)
- Fragments attacks
- Tiny Fragments
- Fragment Overlapping
- TCP Session Hijacking
Attaques sur les mots de passe
Les attaques sur les mots de passe peuvent consister à faire de nombreux essais jusqu’à trouver le bon mot de passe.
Dans ce cadre, notons les deux méthodes suivantes :
- L’attaque par dictionnaire : le mot testé est pris dans une liste prédéfinie contenant les mots de passe les plus courants et aussi des variantes de ceux-ci (à l’envers, avec un chiffre à la fin, etc. ). Ces listes sont généralement dans toutes les langues les plus utilisées, contiennent des mots existants, ou des diminutifs (comme “powa” pour “power”, ou “G0d” pour “god”).
- L’attaque par force brute : toutes les possibilités sont faites dans l’ordre jusqu’à trouver la bonne solution (par exemple de “aaaaaa” jusqu'à “ZZZZZZ” pour un mot de passe composé strictement de six caractères alphabétiques).
Reconnaissance passive
La première démarche pour cartographier un réseau est d’utiliser un ensemble de techniques non intrusives (qui ne pourront pas être détectée) :
Cette démarche permet d'obtenir des informations sur la cible, diffusées publiquement, mais pouvant être confidentielles (diffusées généralement par erreur ou insouciance).
Reconnaissance semi-active
Bien que non intrusives, les techniques suivantes deviennent détectables par la cible, notamment à l'aide d’un système de détection d'intrusion :
- Ping, traceroute et utilisation des propriétés du protocole ICMP
- Balayage de port (port scan en anglais) via Nmap ou AutoScan-Network : La technique consiste à envoyer au SI des informations afin de détecter celles qui provoquent une réponse positive. Par suite l’attaquant peut analyser les réponses reçues pour en dégager des informations utiles voire confidentielles (nom des utilisateurs et profil d'accès)
- Prise d'empreinte TCP/IP (TCP/IP fingerprinting en anglais)
Ces techniques permettent généralement de recenser et d'identifier une grande partie des éléments du réseau cible.
Reconnaissance active
Ici, on passe dans les techniques réellement intrusives, donc clairement détectables, mais ne représentant pas un risque immédiat pour la cible :
Techniques d'intrusion système
- Connexion à un réseau partagé
- Attaque par force brute
- Attaque par dépassement de tampon
- Accès à un interpréteur de commandes interactif
- Élévation des privilèges
- Installation d'un rootkit
- Effacement des traces
Autres types d'attaques
On peut noter qu’il existe d'autres types d'attaques, souvent moins connues car nécessitant des compétences très pointues :
- Le cassage de logiciel (Cracking en version anglaise) : cette technique a pour but la modification d’un programme pour déjouer sa protection (en général pour permettre une utilisation complète, ou à durée illimitée) ;
- La cryptanalyse : l’attaque de données chiffrées est réalisée par interception et analyse des cryptogrammes circulant lors d’une communication ou obtenus par une source quelconque ;
- La rétro-ingénierie ;
- Stacks Overflows et Heap Overflows (dépassement de tampon), écriture de shellcode ;
- L’exploitation des « format bugs » : Les logiciels - en particulier les logiciels standards les plus répandus - comportent des failles de sécurité qui constituent autant d’opportunité d'intrusion indésirables ;
- Le snarfing ;
- La trappe : fonctionnalité utilisée par les développeurs pour faciliter la mise au point de leurs programmes. Lorsqu’elle n'est pas enlevée avant la mise en service du logiciel, elle peut être repérée et servir de point de contournement des mesures de sécurité ;
- Le souterrain : attaque ciblée sur un élément supportant la protection du SI et exploitant une vulnérabilité existant à un niveau plus bas que celui utilisé par le développeur pour concevoir/tester sa protection ;
- Le salami : comportement d'un attaquant qui collecte des informations de manière parcellaire et imperceptible, afin de les synthétiser par la suite en vue d’une action rapide ;
- L’inférence sur les données : l’établissement d'un lien entre un ensemble de données non sensibles peut permettre dans certains cas de déduire quelles sont les données sensibles ;
- L’asynchronisme : ce mode de fonctionnement crée des files d'attente et des sauvegardes de l'état du système. Ces éléments peuvent être détectés et modifiés pour contourner les mesures de sécurité ;
- Le canal caché : type d’attaque de très haut niveau permettant de faire fuir des informations en violant la politique de sécurité du SI. Les menaces peuvent concerner quatre types de canaux cachés : canaux de stockage, canaux temporels, canaux de raisonnement, canaux dits de "fabrication" ;
- Le détournement et utilisation de données Web : utilise un défaut d'implantation ou de programmation de manière à faire exécuter à distance par la machine victime un code non désiré, voire malveillant. Cookie, CSS, CGI, vulnérabilités concernant les langages PHP, ASP, SQL, etc.
Et il en existe d'autres ne nécessitant aucune compétence ou presque :
- Messenger Spam : envoi de pourriels directement sur l'adresse IP et ouverture d’une fenêtre intruse (pop-up en version anglaise) ; cette attaque est gênante mais généralement peu nuisible et nécessite un système Microsoft Windows possédant le programme messenger installé (à ne pas confondre avec le logiciel exploitant MSN) et un accès au réseau local (si la cible est derrière un routeur NAT celle-ci ne pourra pas être atteinte).
- Le Shoulder surfing, basique mais efficace. Il suffit de regarder par-dessus l'épaule de la personne espionnée en mémorisant les données qu'elle introduit dans des champs.
Technique d'évasion
Ces techniques permettent, par différentes méthodes, de cacher au système de détection (généralement un IDS) les informations nécessaires à la détection d’une attaque (ARP poisoning, spoofing, modifications des règles de l’IDS[réf. nécessaire]).
Notes et références
Voir aussi
Articles connexes
- Cybercrime
- Fuite d'information
- Hacker
- Phreaking
- Sécurité du système d'information
- Sécurité de l'information
- Souveraineté numérique
- ISO/CEI 17799, norme sur la sécurité de l'information
- ISO/CEI 27001, norme sur la sécurité de l'information
- EBIOS, méthode de gestion des risques de l'ANSSI
- Analyse factorielle du risque informationnel
- (en) Prosecutor's Management Information System (en)
- (en) Inslaw (en)
Liens externes
- Normes de sécurité : les méthodes d'analyse des risques
- (en) liste de failles connues et non encore officiellement corrigées pour chaque logiciel, par Secunia
- Portail de la sécurité de l’information
- Portail de la sécurité informatique