Pour comprendre comment sécuriser son réseau informatique il est intéressant de savoir comment les hackers s’y prennent pour attaquer une cible. Le livre « Sécurité informatique – Apprendre l’attaque pour mieux se défendre » aux Éditions ENI est une précieuse mine de renseignements.
Techniques du hacker
Cibler
Pirater un système demande de l’énergie il faut donc que ça en vaille la peine, pourtant tout le monde peut être une cible potentielle car nos informations ont de la valeur. Connaître la vie secrète de son conjoint ou découvrir un secret industriel ça peut être facile dans un système mal protégé.
Le pirate peut explorer le réseau au hasard à la recherche d’une faille ou avoir une cible précise, il dispose d’une panoplie d’outils pour explorer le web. Le logiciel Nmap permet de scanner un réseau pour faire la carte de sa configuration et trouver les failles potentielles. Il suffit de renseigner l’adresse IP du réseau que l’on peut trouver sur un site comme Whois.
Pour une attaque ciblée le pirate essaiera de rassembler un maximum d’informations sur Facebook, 123people ou Linkedin, il fera des recherches sur Google afin de trouver tout ce qui a été publié. Il absorbera tout ce qu’il peut pour être prêt à attaquer sans se faire remarquer, en se fondant dans le décor.
Attaquer
La faille humaine est la plus courante; l’ingénierie sociale est la science de la manipulation et la première arme du hacker. En jouant sur les émotions humaines il peut obtenir de précieux renseignements. C’est la phase la plus délicate car il doit agir sans attirer l’attention.
Son but est de trouver une porte d’entrée dans le réseau par un fichier, une clef USB, un matériel sans surveillance, une personne manipulée. Il peut aussi sniffer le réseau avec un logiciel, écouter le réseau WiFi, créer un faux réseau WiFi non sécurisé où les téléphones intelligents vont se connecter automatiquement.
Les techniques sont innombrables. Aujourd’hui beaucoup d’objets sont reliés à internet sans être sécurisés, ce sont autant de portes d’entrée ouvertes. Le logiciel Shodan permet d’explorer des réseaux d’objets connectés et de les tester à partir de son navigateur.
Contrôler
Une fois le réseau pénétré le pirate va s’assurer une porte d’entrée permanente pour pouvoir explorer tout le réseau. Son but est de prendre le contrôle du root pour pouvoir capter l’information qui l’intéresse. Il va camoufler ses traces en réécrivant les fichiers journaux pour que l’administrateur ne s’aperçoive de rien.
Il peut alors rester discret et recueillir l’information dans le temps. Il peut aussi utiliser le réseau à ses propres fins en lui faisant produire de la cryptomonnaie ou pour attaquer en force une cible plus importante.
Les failles
Les failles peuvent être multiples car chaque couche du réseau a les siennes. Je ne ferai qu’un bref résumé du livre car les techniques et les outils sont multiples et sophistiqués.
Humaine
L’humain est évidemment le maillon faible du système. On peut l’influencer et le manipuler, par paresse il contourne les procédures normales de sécurité ou les désactive. Le système est tellement compliqué qu’il peut facilement faire une erreur par ignorance des conséquences de ses actes.
Physiques
Un ordinateur dont on a l’accès physique pendant un certain temps peut être ouvert peu importe le mot de passe. C’est un peu plus compliqué quand on doit agir sans se faire remarquer sur un ordinateur ouvert mais avec une clef USB on peut installer une porte d’entrée discrète très rapidement, on peut aussi installer un keylogger qui va enregistrer toutes les actions de la cible.
Les communications sans fil
Beaucoup de communications se font par ondes radio qui peuvent être captées par tout le monde. Si les protocoles sont respectés et le réseau sécurisé c’est compliqué (mais faisable) à décrypter mais il suffit d’un appareil vulnérable dans un réseau pour ouvrir une porte.
Le réseau
N’importe qui peut écouter le trafic circulant sur le réseau internet et explorer les réseaux privés. Le protocole internet IPv4 avait des failles connues. Le nouveau protocole IPv6 devrait partiellement les colmater mais son adoption est lente. De toute façon de nouveaux outils seront développés pour exploiter de nouvelles failles.
Le web
C’est facile de faire un site web aujourd’hui, on installe WordPress et on publie. Si on a bien protégé son site on s’aperçoit dans les rapports de sécurité que dès que le site est en ligne les tentatives frauduleuses de connexion au compte administrateur commencent. Des outils automatiques testent continuellement les sites pour trouver la faille. Un site web mal sécurisé est dangereux pour le visiteur aussi.
Le système d’exploitation
Le mot de passe est la clef, beaucoup d’appareils n’en ont pas. Mais de toute façon les logiciels pour casser les mots de passe sont de plus en plus performants. Tous les systèmes ayant des failles, le conseil est de crypter son dossier personnel. En plus les systèmes commerciaux communiquent beaucoup d’informations à notre insu. Une étude sur Windows 10 démontre qu’il transmet à Microsoft la géolocalisation, la télémétrie, les données de navigation, le partage des accès Wi-Fi, les entrées vocales et clavier, les publicités affichées par le navigateur…
Les applications
Environ 60% des attaques se font par buffer overflow, un bug dans la gestion des zones mémoire d’un programme. Lorsqu’un hacker découvre un nouveau bug en testant un programme on appelle ça un exploit et tant qu’il n’a pas été publié le hacker peut l’utiliser et le vendre (exploit 0 Day). Ensuite le programme est mis à jour pour colmater la brèche mais elle reste ouverte chez ceux qui ne font pas les mises à jour.
Il y a aussi bien sûr toutes les applications qu’on ajoute à son téléphone ou à son compte Facebook, il vaut mieux savoir exactement ce que fait l’application avant de l’installer, après c’est trop tard. C’est sans doute la faille principale.
Le routeur
Depuis le modem à 56 ko/s à la fibre optique, notre connexion à internet a évolué. Notre routeur est devenu un véritable serveur domestique qui stocke des données: musique, photos,etc. Si en plus on peut le contrôler à distance depuis internet, il faut se dire que d’autres peuvent le faire aussi si il n’est pas bien protégé. Il vaut donc mieux désactiver les services dont on ne se sert pas et apprendre à bien configurer son réseau.