La menace intrusive informatique, connaître pour lutter

sans titre 1

J’ai assisté à une conférence de Microsoft sur le thème de la sécurité informatique. C’est une bonne chose, il n’y a pas beaucoup d’informations à ce sujet. Globalement, Monsieur Sécurité Microsoft des Microsoft Days du 4 octobre 2017 dit texto « L’attaquant arrivera toujours à vous plomber s’il veut vous plomber. Le truc, c’est d’intensifier les barrières ». Selon lui, « aucun système ou application informatique ne peut se dire sans failles ». Le truc, c’est de se protéger par un firewall et un antivirus. C’est considéré comme indispensable par Microsoft. C’est pour cela qu’on est interpellé régulièrement quand on ne les installe pas. Par contre, Windows Defender est l’un des meilleurs antivirus, bien qu’il ne soit pas le meilleur. Attention : Quand on l’installe, on a droit aussi à une panoplie de sécurisations directement intégrées au système d’exploitation. Rien n’empêche d’en avoir deux. Le meilleur est NOD32. Norton est l’un des pires en termes de lourdeur, de lenteur, d’invasivité, il ralentit tout l’ordinateur intensément, bien que son chef soit au conseil d’administration de Microsoft. Moi, j’y allais en tant que développeur. On apprend une nouvelle : « Dans la majorité des intrusions, le problème n’est pas les bugs, mais les problèmes opérationnels et la dette technique », c’est-à-dire les maladresses des administrateurs, le non renouvellement des vieux logiciels, la non installation des patches Microsoft, ou non directement, l’absence de suivi des informations de la communauté. Important, car beaucoup d’entreprises font des fournées de patches, c’est grave selon Microsoft, même s’ils ont des outils pour les y aider. Selon lui, Windows 7, bien qu’encore maintenu, contient certains protocoles de compatibilité ascendante qui ne peuvent pas être corrigés et qui sont fragiles. On a vu aussi avec Elyse Lucet dans Cash Investigations qu’avec un Internet Explorer un peu ancien, on peut prendre le contrôle du PC, de la caméra…

Selon lui, l’angle d’analyse critique des menaces n’est pas d’abord les types de failles. C’est le classement des pourcentages de moyens qui risquent d’être mis en œuvre. Par exemple, vous avez d’abord les hackers qui se lancent des défis. Ce sont les moins dangereux. Vous devez vous poser la question : Qu’est-ce que je vaux ? Pour mettre les moyens correspondants. Car la deuxième catégorie est le vol d’informations en vue de gagner de l’argent, ou les ransomwares aussi. Mais il existe une troisième catégorie, qui, si on retient que s’ils le veulent ils y parviennent toujours, sont particulièrement menaçants, ce sont les nations, les terroristes et les activistes. Cette troisième catégorie se déguise souvent en les deux autres afin qu’on ne puisse pas savoir que l’attaque est ciblée ou en douter, empêcher de le prouver. J’ai constaté moi-même aussi. Il existe une puissance de véritables sociétés qui peuvent vous prendre pour cible selon votre activité. Il existe des villes entières dans les pays anciennement soviétiques où tous sont hackers, payés par d’autres.

Il y avait les anciennes menaces : logiciels malveillants installés parce que c’est un EXE partagé ou téléchargé sur lequel on clique, ou un moyen de dépose caché, puis une activité de persistance, par exemple avec les tâches planifiées. Attention : Le menu démarrer n’est plus visible et pourtant existe toujours.

Les nouveaux s’enregistrent, s’injectent dans les fichiers maintenant complexes des développeurs, composent avec plusieurs techniques, et utilisent la discrétion afin de ne pas se faire remarquer. Les spywares font des variations, pourtant ils partent tous de quelques mêmes boîtes à outils très connues de ces mafias.

Les barrières qui marchent, donc que veulent violer les spywares, c’est la vérification d’IP, les signatures d’authentification (voir mon article à propos des contrats informatiques), la réputation, c’est-à-dire les techniques qui consistent à reconnaître à soi une demande de lancement de programme. Les spywares vont par exemple essayer d’utiliser les binaires autorisés par le système d’exploitation.

Les types de menaces, ce sont les macros, la mise à profit de la compatibilité ascendante, les outils de piquage des mots de passe. Bien qu’ils soient protégés, il y a tellement de logiciels qui font la saisie de mots de passe, qu’il passe quelquefois des failles et des légèretés à ce niveau-là, et mêmes si on a plusieurs mots de passe, certains sont identiques. A savoir : En ce qui concerne les sites, Microsoft demande à changer le mot de passe s’il le découvre dans les listes mises à disposition sur le darknet.

Les points d’entrées sont les messages instantanés, les liens, les mails, la prise en main de l’ordinateur par l’option correspondante. Ensuite, des niveaux sont atteints : Le passage de commandes, la reconnaissance de l’environnement, la détection de l’environnement par déplacement, la prise de contrôle de la liste des utilisateurs…

A noter : Nous avons travaillé sur un exemple monitoré par un administrateur quelconque d’une extension de Word qui a réussi à obtenir les droits d’un service système au sein de Word. A noter aussi : J’ai appris que les codecs vidéo, ce sont des binaires. Et ils n’ont pas de vraie sandbox, c’est-à-dire un tampon sécurisé pour les ressources.

A propos des signatures numériques (et donc des certificats), comme je vous le disais, si c’est un point bien mis en place, c’est plutôt infaillible, c’est la solution idéale ainsi que la réputation de l’IP. Cela est tellement puissant (voir mon article sur les certificats), que même le darknet lui fait confiance pour générer des clés inviolables de bitcoins. Les bitcoins sont le résultat d’un type d’utilisation des certificats dont on ne soupçonnait pas les possibilités. Ce sont les blockchains. Ça, c’est comme une information inviolable qui peut transiter sur le réseau sans mot de passe, et qui gère elle-même tous ses droits et ses sécurités. Elle est générée par les certificats. Et les certificats, leur but, c’est de se protéger des hackers par la complexité. Et la complexité, ce sont des calculs d’intégrales de cosinusoïdales à 30 chiffres et 30 décimales multipliés par eux-mêmes. Du coup, transmettre une blockchain prend un million de fois plus de puissance, dans l’ordinateur, pas sur le réseau, que si l’information n’était pas codée. C’est un peu comme si, plutôt que de signer numériquement un PDF, on utilisait un fichier avec une signature, le fichier étant dans la signature. Pour aider, il existe plusieurs sortes de contrats, chacun avec leurs avantages et leurs inconvénients, tels les smartcontracts. Microsoft fait de la recherche pour développer un Framework qui permettra de les utiliser tous de la même façon, avec un socle commun. Et par la suite, un autre Framework, qui ne calculera pas à chaque coup le contrat de la blockchain mais fera des optimisations, particulièrement pour les sites, où le serveur fait la moitié du travail, donc un million de fois plus que le client, dans le mode client/serveur, s’il y a un million de visiteurs, le Framework lui permettra de ne calculer qu’une fois le contrat en étant assuré de sa bonne utilisation, chose que peut se permettre un gestionnaire de blockchain qui maîtrise le serveur uniquement, donc Microsoft. Ainsi que toute autre bonne optimisation à prendre. Encore un Framework d’optimisation du précédent Framework qui faisait plein de choses en parallèle afin de gérer les cas particuliers.

A vous maintenant de déduire vos failles résiduelles de cela. Je rappelle que j’ai un autre article sur le sujet nommé « Sécurité informatique ».

Frédéric Decréquy, version 1 du 6 octobre 2017.

Print | posted on Friday, July 6, 2018 12:45 AM

Feedback

No comments posted yet.

Your comment:





 
Please add 4 and 3 and type the answer here:

Copyright © Frédéric Decréquy

Design by Bartosz Brzezinski

Design by Phil Haack Based On A Design By Bartosz Brzezinski