sans titre 1
J’ai assisté
à une conférence de Microsoft sur le thème de la sécurité informatique. C’est
une bonne chose, il n’y a pas beaucoup d’informations à ce sujet. Globalement,
Monsieur Sécurité Microsoft des Microsoft Days du 4 octobre 2017 dit texto
« L’attaquant arrivera toujours à vous plomber s’il veut vous plomber. Le truc,
c’est d’intensifier les barrières ». Selon lui, « aucun système ou application
informatique ne peut se dire sans failles ». Le truc, c’est de se protéger par
un firewall et un antivirus. C’est considéré comme indispensable par Microsoft.
C’est pour cela qu’on est interpellé régulièrement quand on ne les installe pas.
Par contre, Windows Defender est l’un des meilleurs antivirus, bien qu’il ne
soit pas le meilleur. Attention : Quand on l’installe, on a droit aussi à une
panoplie de sécurisations directement intégrées au système d’exploitation. Rien
n’empêche d’en avoir deux. Le meilleur est NOD32. Norton est l’un des pires en
termes de lourdeur, de lenteur, d’invasivité, il ralentit tout l’ordinateur
intensément, bien que son chef soit au conseil d’administration de Microsoft.
Moi, j’y allais en tant que développeur. On apprend une nouvelle : « Dans la
majorité des intrusions, le problème n’est pas les bugs, mais les problèmes
opérationnels et la dette technique », c’est-à-dire les maladresses des
administrateurs, le non renouvellement des vieux logiciels, la non installation
des patches Microsoft, ou non directement, l’absence de suivi des informations
de la communauté. Important, car beaucoup d’entreprises font des fournées de
patches, c’est grave selon Microsoft, même s’ils ont des outils pour les y
aider. Selon lui, Windows 7, bien qu’encore maintenu, contient certains
protocoles de compatibilité ascendante qui ne peuvent pas être corrigés et qui
sont fragiles. On a vu aussi avec Elyse Lucet dans Cash Investigations qu’avec
un Internet Explorer un peu ancien, on peut prendre le contrôle du PC, de la
caméra…
Selon lui,
l’angle d’analyse critique des menaces n’est pas d’abord les types de failles.
C’est le classement des pourcentages de moyens qui risquent d’être mis en œuvre.
Par exemple, vous avez d’abord les hackers qui se lancent des défis. Ce sont les
moins dangereux. Vous devez vous poser la question : Qu’est-ce que je vaux ?
Pour mettre les moyens correspondants. Car la deuxième catégorie est le vol
d’informations en vue de gagner de l’argent, ou les ransomwares aussi. Mais il
existe une troisième catégorie, qui, si on retient que s’ils le veulent ils y
parviennent toujours, sont particulièrement menaçants, ce sont les nations, les
terroristes et les activistes. Cette troisième catégorie se déguise souvent en
les deux autres afin qu’on ne puisse pas savoir que l’attaque est ciblée ou en
douter, empêcher de le prouver. J’ai constaté moi-même aussi. Il existe une
puissance de véritables sociétés qui peuvent vous prendre pour cible selon votre
activité. Il existe des villes entières dans les pays anciennement soviétiques
où tous sont hackers, payés par d’autres.
Il y avait
les anciennes menaces : logiciels malveillants installés parce que c’est un EXE
partagé ou téléchargé sur lequel on clique, ou un moyen de dépose caché, puis
une activité de persistance, par exemple avec les tâches planifiées. Attention :
Le menu démarrer n’est plus visible et pourtant existe toujours.
Les nouveaux
s’enregistrent, s’injectent dans les fichiers maintenant complexes des
développeurs, composent avec plusieurs techniques, et utilisent la discrétion
afin de ne pas se faire remarquer. Les spywares font des variations, pourtant
ils partent tous de quelques mêmes boîtes à outils très connues de ces mafias.
Les
barrières qui marchent, donc que veulent violer les spywares, c’est la
vérification d’IP, les signatures d’authentification (voir mon article à propos
des contrats informatiques), la réputation, c’est-à-dire les techniques qui
consistent à reconnaître à soi une demande de lancement de programme. Les
spywares vont par exemple essayer d’utiliser les binaires autorisés par le
système d’exploitation.
Les types de
menaces, ce sont les macros, la mise à profit de la compatibilité ascendante,
les outils de piquage des mots de passe. Bien qu’ils soient protégés, il y a
tellement de logiciels qui font la saisie de mots de passe, qu’il passe
quelquefois des failles et des légèretés à ce niveau-là, et mêmes si on a
plusieurs mots de passe, certains sont identiques. A savoir : En ce qui concerne
les sites, Microsoft demande à changer le mot de passe s’il le découvre dans les
listes mises à disposition sur le darknet.
Les points
d’entrées sont les messages instantanés, les liens, les mails, la prise en main
de l’ordinateur par l’option correspondante. Ensuite, des niveaux sont
atteints : Le passage de commandes, la reconnaissance de l’environnement, la
détection de l’environnement par déplacement, la prise de contrôle de la liste
des utilisateurs…
A noter :
Nous avons travaillé sur un exemple monitoré par un administrateur quelconque
d’une extension de Word qui a réussi à obtenir les droits d’un service système
au sein de Word. A noter aussi : J’ai appris que les codecs vidéo, ce sont des
binaires. Et ils n’ont pas de vraie sandbox, c’est-à-dire un tampon sécurisé
pour les ressources.
A propos des
signatures numériques (et donc des certificats), comme je vous le disais, si
c’est un point bien mis en place, c’est plutôt infaillible, c’est la solution
idéale ainsi que la réputation de l’IP. Cela est tellement puissant (voir mon
article sur les certificats), que même le darknet lui fait confiance pour
générer des clés inviolables de bitcoins. Les bitcoins sont le résultat d’un
type d’utilisation des certificats dont on ne soupçonnait pas les possibilités.
Ce sont les blockchains. Ça, c’est comme une information inviolable qui peut
transiter sur le réseau sans mot de passe, et qui gère elle-même tous ses droits
et ses sécurités. Elle est générée par les certificats. Et les certificats, leur
but, c’est de se protéger des hackers par la complexité. Et la complexité, ce
sont des calculs d’intégrales de cosinusoïdales à 30 chiffres et 30 décimales
multipliés par eux-mêmes. Du coup, transmettre une blockchain prend un million
de fois plus de puissance, dans l’ordinateur, pas sur le réseau, que si
l’information n’était pas codée. C’est un peu comme si, plutôt que de signer
numériquement un PDF, on utilisait un fichier avec une signature, le fichier
étant dans la signature. Pour aider, il existe plusieurs sortes de contrats,
chacun avec leurs avantages et leurs inconvénients, tels les smartcontracts.
Microsoft fait de la recherche pour développer un Framework qui permettra de les
utiliser tous de la même façon, avec un socle commun. Et par la suite, un autre
Framework, qui ne calculera pas à chaque coup le contrat de la blockchain mais
fera des optimisations, particulièrement pour les sites, où le serveur fait la
moitié du travail, donc un million de fois plus que le client, dans le mode
client/serveur, s’il y a un million de visiteurs, le Framework lui permettra de
ne calculer qu’une fois le contrat en étant assuré de sa bonne utilisation,
chose que peut se permettre un gestionnaire de blockchain qui maîtrise le
serveur uniquement, donc Microsoft. Ainsi que toute autre bonne optimisation à
prendre. Encore un Framework d’optimisation du précédent Framework qui faisait
plein de choses en parallèle afin de gérer les cas particuliers.
A vous
maintenant de déduire vos failles résiduelles de cela. Je rappelle que j’ai un
autre article sur le sujet nommé « Sécurité informatique ».
Frédéric Decréquy, version 1 du 6 octobre 2017.