IoT Corner

p. 06  Découverte de Fuchsia et analyses préliminaires du Google Nest Hub

Pentest Corner

p. 14  Tirer profit des faiblesses humaines en opération Red Team

Threat Intel Corner

p. 20  Les flux de connaissances des cybermenaces : oui, mais...

Dossier : Objets connectés

p. 28  Introduction
p. 29  Tests d’intrusion IoT sur réseau Radio 5G
p. 40  Sécurité de la connectivité des drones et de l’IoT
p. 48  Utilisation de l’IoT sur une mission Red Team

Code

p. 56  European Cyber Cup : détection de deepfake au challenge Machine Learning du FIC

Système

p. 64  Veille, vulnérabilité et traitement des failles

Organisation & Juridique

p. 74  DORA ! DORA ! DORA ! Quelles exigences numériques bientôt imposées au secteur financier ?

Même si je n’ai plus participé au salon monégasque automnal depuis plusieurs années, je ne rate jamais la lecture du discours que Guillaume Poupard donne à cette occasion. Une des annonces a été la création d’une startup d’État, « Mon Service Sécurisé », visant à aider les structures de taille intermédiaire à sécuriser leurs services numériques. L’ANSSI fait le constat que si la maturité des grandes administrations et entreprises a largement progressé, il en est tout autre des organisations de taille plus modeste. Il suffit d’ailleurs de lire les titres de presse égrenant les hôpitaux, collectivités, universités ou écoles dont le système d’information est bloqué suite à une attaque pour se convaincre de l’inadéquation de leur sécurité face aux menaces. Et ce n’est certainement que la partie émergée de l’iceberg, les vols de données sans demande de rançon sont par nature discrets et pas forcément détectés par les administrations et entreprises ciblées.

Et si tout expert en sécurité peut dans les grandes lignes décrire ce qui devrait être mis en place pour aligner la sécurité d’une structure au niveau de la menace, ces structures se trouvent face à des défis RH, techniques, financiers et organisationnels qui peuvent être extrêmement complexes à résoudre. En effet, tout spécialiste autoproclamé affirmant qu’il suffit de mettre en place telle ou telle brique technique n’a jamais eu à gérer un système d’information avec un minimum de complexité ni à gérer les budgets y afférant. S’il est évident qu’en remplaçant tous les terminaux par des Chromebook ou des ordinateurs sous Linux sans privilège, la surface d’attaque sera réduite, c’est oublier que la diversité des usages rend ceci impossible dans la grande majorité des cas. In fine, à l’exclusion des organisations les plus petites, presque toutes les entreprises ou administrations vont nécessairement devoir gérer un parc sous Windows avec un Active Directory qu’il soit hébergé sur site ou dans les nuages.

Et c’est là que les problèmes commencent… Car si monter ce type d’architecture ne pose pas de difficultés insurmontables, atteindre un niveau de service acceptable sans impacter les usages est une autre paire de manches. Rapidement, la quasi-totalité des structures va se retrouver d’une part avec des typologies d’utilisateurs administrateurs de leur poste comme les informaticiens, et d’autre part avec des logiciels indispensables ne fonctionnant pas sans les droits administrateur ni sur une version à jour de Windows. Puis, comme les éditeurs fournissent régulièrement des mises à jour qui cassent des fonctionnalités, les patchs vont être déployés avec quelques semaines de retard le temps de vérifier qu’ils ne provoquent pas trop de catastrophes, voire n’être plus appliqués que de manière sporadique. Nous avons donc beaucoup de candidats pour le patient zéro d’une attaque. Il est en outre probable que sur la centaine de points de contrôle des guides de sécurisation d’Active Directory, quelques-uns aient été oubliés ou ne soient pas applicables, mais qu’un attaquant saura vite les trouver.

Ce type d’architecture étant vulnérable tant à une primo-infection qu’à une attaque latérale, il est nécessaire d’ajouter des couches de sécurité. Et c’est là que les choses se compliquent pour une organisation disposant d’un parc important, mais sans le budget d’une entreprise du CAC 40. Car pour réduire le risque à un niveau acceptable au regard de la menace actuelle, il va falloir déployer un EDR sur les terminaux et un SOC managé. Avec ce type de solution, le coût complet pour un poste de travail peut monter annuellement à une centaine d’euros entre les licences logicielles et la supervision des événements en 24h/24 et 7J/7. C’est-à-dire que vous devrez annoncer à la Direction financière que vous allez devoir dépenser autant pour sécuriser votre parc que vous en dépensez déjà pour son renouvellement. Et pour connaître assez bien le secteur public et les problèmes structurels de budgets, il y a fort à parier que vous n’aurez ce budget que lorsque vous ferez les gros titres des journaux et qu’il faudra signer le chèque un couteau sous la gorge parce que votre système d’information sera hors service et vos données en vente sur le darknet…

Cédric Foll / cedric@miscmag.com / @follc