Avec l’explosion des usages numériques, les attaques informatiques se multiplient… Pas une semaine ne passe sans qu’une société, publique ou privée, n’en soit victime. Pire ! De nouvelles menaces se développent constamment, les pirates n’arrêtent pas le progrès de la malveillance.

Alors, comment s’en protéger efficacement ? En vous initiant aux différentes techniques des attaquants !

Apprendre l’attaque pour mieux se défendre, tel est le credo de notre collectif d’auteurs, hackeurs blancs dans l’âme, qui vient de publier une édition actualisée de l’ouvrage Sécurité Informatique : Ethical Hacking.

Lors d’un webinaire, trois d’entre eux nous ont proposé de plonger dans l’univers de la cybersécurité.

Qu’est-ce que le hacking éthique ? Quelles sont les différentes failles évoquées dans le livre ? Quelles contremesures peuvent être envisagées ? Exemples concrets à l’appui, vous trouverez toutes les réponses à ces questions dans le replay ! 

Vos questions / Leurs réponses

Réponses de Robert Crocfer

1. Quelle est la mission d’un gendarme Cybersécurité ?

Le Centre de lutte contre les criminalités numériques (C3N) est rattaché au Pôle judiciaire de la gendarmerie nationale. Parmi les missions que vous pouvez exercer, il est possible de travailler dans le développement d’outils dédiés à la cybersécurité pour les enquêteurs sur le terrain (niveau Bac+5), de travailler pour le réseau CyberGEND, un réseau d’enquêteurs spécialisés en nouvelles technologies et présents au sein des différents échelons territoriaux, ou d’exercer le métier de gendarme N’TECH (niveau bac).

Formé par la gendarmerie, un gendarme N’TECH est compétent pour mener des enquêtes sur des réseaux ou réaliser des examens techniques sur des supports numériques et seconder les unités d’enquête. Il travaille pour des brigades mais aussi pour des unités de recherche, sur des domaines tels que la pédopornographie, le détournement de moyens de paiement, les délits informatiques…

2. Le livre peut-il être suffisant comme source de formation pour un autodidacte ?

Le livre vous donnera une très bonne culture générale en termes de cybersécurité, il vous guidera dans cet apprentissage. Sa lecture vous permettra de gagner du temps et vous évitera de vous disperser. Je connais de très bons autodidactes reconnus dans ce milieu, mais tous vous le diront : « Pour apprendre en cyber, il faut pratiquer. »
Je ne peux que vous conseiller de monter vos propres labos (la virtualisation vous permet maintenant de les installer à moindre frais et de vous entraîner) et de faire des challenges en ligne (rootme), c’est très formateur. Il vous faudra du temps et de la persévérance, mais rien n’est impossible quand on est passionné.
Si vous n’avez pas la possibilité de suivre une formation, regardez les métiers cyber proposés par les services d’Etat, certains vous forment et vous rémunèrent pendant votre formation, cela peut être une bonne piste !

3. Quelles sont les nouveautés de la 6e édition ?

Cette nouvelle édition compte 3 nouveaux chapitres, soit 170 pages supplémentaires, qui traitent de la sécurité des mobiles, des voitures connectées et de l’étude des malwares. Elle a par ailleurs été complètement revue et mise à jour pour tenir compte de l’actualité en matière de sécurité informatique et présenter ses dernières nouveautés. Ainsi, le chapitre sur les failles web a été totalement remanié, les outils de prises d’empreintes ont été réactualisés avec leurs nouvelles fonctionnalités, le chapitre Forensic a été enrichi de la méthode de dump et de la recherche en mémoire vive, la mise en scène d’attaques sur les failles réseaux a été étoffée… Tout ça en 970 pages !

4. Quelles seraient les étapes pour débuter et poursuivre un apprentissage d’Ethical Hacking ?

Selon moi, cela dépend de votre situation, étudiant ou salarié.

Si vous travaillez, deux solutions se présentent à vous :

• Vous pouvez, dans le cadre du droit à la formation reprendre vos études en formation continue avec la possibilité de faire une validation d’acquis (pour une partie ou pour tous les modules de la formation). Pour les écoles, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) fournit une liste dans le cadre de son label SECNUMEDU : https://www.ssi.gouv.fr/particulier/formations/secnumedu/formations-labellisees-secnumedu/

• Vous pouvez suivre une formation professionnelle (en présentiel ou à distance) réservée aux salariés, qui peut être financée par votre entreprise ou grâce à votre CPF (Compte Personnel Formation), comme la formation “Ethical Hacking” proposée par ENI Service : https://www.eni-service.fr/index.php/fomation/securite-informatique-ethical-hacking-apprendre-lattaque-pour-mieux-se-defendre/

Si vous êtes étudiant :

Disposer d’un Bac+2 en informatique (réseau, développement, informatique industrielle…) est un plus. Ensuite, je vous engage à continuer vers un Bac+3  et/ou un Bac+5, comme par exemple le cursus “Expert en stratégie digitale” en alternance proposé par ENI Ecole Informatique : https://www.eni-ecole.fr/formations/systeme-et-reseau/bac-5-expert-en-securite-digitale/

Il y a maintenant de nombreuses écoles (privées et publiques) et universités qui proposent ce genre de formation. Le mieux est de se renseigner en amont auprès des étudiants (réseaux sociaux, groupes, blogs…) pour vérifier si le contenu du programme affiché (théorie et pratique) est bien présent dans la formation et n’oubliez pas de croiser vos sources !

Réponses de Rémi Dubourgnoux

5. Pour les entreprises dont l’IT n’est pas la priorité, comment passer de la défense classique (AV, Firewall, etc.) à une défense moderne et efficace contre les nouvelles attaques ?

Il n’est pas si compliqué de réaliser une défense en profondeur efficace, mais … il faudra se contenter de petites victoires ponctuelles pour atteindre votre but.

L’objectif premier est de réduire l’impact. Une compromission peut aller très vite : ouvrir une pièce jointe, avoir un mot de passe faible, oublier de faire une mise à jour, fournir le mauvais paramètre en PHP, ouvrir un film en .exe. Les attaquants modernes passent du mail, ou de la connexion au serveur de démo, au ransomware en moins de 8H.

1. Les accès admin aux admins !
Réservez-vous des adresses IP et n’autorisez les protocoles d’administrations qu’en provenance de ces sources. (22, 3389, 135-139 (UDP), 445, autres ?) Toutes les distributions récentes (serveurs et postes de travail) ont un firewall local gratuit. C’est simple d’écrire le template puis de l’importer.
#Nice to have : Désactiver NetBios et autres services inutiles.

Pour réaliser l’acquisition de tous les mots de passe d’un ordinateur (y compris celui de l’administrateur qui s’est connecté pour debugger un problème), les techniques les plus simples pour les pirates sont :
– la capture de la mémoire RAM ou du processus d’authentification (PAM/lsass)
– la capture des fichiers qui contiennent les hashs : Base SAM, etc.

Ces deux techniques nécessitent d’être administrateur, c’est pour cette raison qu’il ne faut pas être administrateur lorsqu’on navigue Internet, lorsqu’on ouvre des pièces jointes, etc.

2. “On ne met pas tous ses œufs dans le même panier”
Donner l’accès à tous les ordinateurs d’un réseau est un raccourci tentant. Il s’agit de l’erreur la plus répandue, spécialement en présence d’annuaires (Active Directory/LDAP). Lorsqu’un compte est compromis, il compromet tout ce à quoi il accède : suppression de fichiers, modifications, installations de malwares, etc. Moins il y a de gens autorisés, moins les problèmes seront fréquents ET moins ils se propageront. C’est le même cas de figure avec les partages de fichiers.

Privilégiez des accès nominatifs !

3. Passoires ou Password ?

Un password par niveau de criticité minimum ! 14 caractères avec une grande complexité (le NIST préconise des longueurs de passwords plus importantes).

La boîte mail permet de recevoir toutes les demandes de reset de mot de passe et d’échanger de nombreux document importants (coordonnées bancaires, factures , etc.). Vous apporterez à son accès et à sa consultation une attention et un soin spécifique.

6. Quelles sont les premières actions simples à mettre en place avant d’entrer dans cette forêt opaque (Box internet, Windows, 4G, réseau local et Ethernet…) ?

Si vous êtes un utilisateur Windows, le premier réflexe à avoir quand vous vous connectez à un réseau, c’est de toujours choisir « Public », même à la maison. Ne vous connectez jamais en tant qu’administrateur pour internet ou les mails.

Le second réflexe à avoir est de bien veiller à utiliser des mots de passe différents et sûrs.

Pour plus de conseils : https://slides.com/rdx/cyber-security#/7 (flèche du bas pour progresser)

7. Quel type de solution de protection antivirus préconisez-vous sur les serveurs *NIX ?

La philosophie *NIX est la suivante : « Tout ce qui n’est pas autorisé est interdit. » Les antivirus font le contraire, « tout ce qui n’est pas interdit est autorisé ». Or, cette approche n’est pas efficace. Un code malveillant n’arrive pas par hasard sur une machine (mot de passe faible, partage de fichier, vulnérabilité du service…). Il est plus rentable de traiter le problème que de nettoyer des malwares tous les jours, vous avez une chance sur 3 pour que l’antivirus le rate. Je vous invite à lire le chapitre du livre consacré aux malwares qui vous montrera que c’est (trop) simple de contourner un antivirus.

Dans le processus d’installation standard d’un paquet, on vérifie sa source et son intégrité. Les mécanismes modernes de contrôle d’exécution permettent de prévenir les exécutions non souhaitées. Des utilitaires comme bastille ou harden font ça très bien (voir le guide officiel de sécurisation de votre distribution sur le site de l’éditeur).

L’installation d’un AV est généralement une des dernières étapes des guides de sécurisation : Install -> Config -> Sécurisation des Services -> Hardening/Durcissement -> Infrastructure -> Outils de sécurité -> Revues périodiques…

8. Est-ce que l’utilisation de logiciels open source augmente le risque de supply-chain-attack ?

Il n’existe pas à ce jour de système/programme sans vulnérabilités. Les seules mesures de défenses possibles sont la réduction de l’exposition, de la surface d’attaque et des privilèges.
L’inventaire du soft, ses dépendances doivent être documentées. Les systèmes exposés ou critiques doivent faire l’objet d’une attention particulière.

Dans la majorité des attaque supply-chain sur lesquelles j’ai eu la « chance » de travailler, l’open source n’était pas en cause. Les impacts sont trop localisés, les vulnérabilités trop publiques, les systèmes vites patchés.

Personnellement, je ne pense pas que l’open source soit plus dangereux que le propriétaire. D’autant que de plus en plus de projets propriétaires embarquent de l’open source.