L’utilisateur, le maillon faible.

L’utilisateur, le maillon faible.​

Si vous n’avez pas lu les livres de Kevin Mitnick et en particulier « The Art of Deception » (2001), je vous conseille vivement de le faire. Kevin Mitnick y décrit à force d’exemples, comment l’utilisateur pirate peut, sans être un génie de l’informatique, grâce à des techniques de manipulation (social engineering) prendre le contrôle de systèmes informatiques.

Le risque lié à la sécurité informatique est de plus en plus pris en compte et les moyens des entreprises (de moyenne et grande taille) se sont largement développés (firewalls en série, mise en place de rupture de protocoles, sondes, antivirus, VPN, zero-trust network access (ZTNA), Security Operations Center (SOC) etc.). Dans ces entreprises, passer au travers des lignes de firewalls pour atteindre le réseau interne et les données sensibles stockées sur ces serveurs relève d’une succession d’exploits techniques qui tend parfois au miracle. Les pirates, comme dans tous les autres domaines ont toujours tendance à choisir le chemin le plus simple pour atteindre leur objectif. Quand on a à faire à un bastion bien protégé, il est souvent plus simple de passer par la porte de service. Une entreprise de quelques milliers ou de quelques dizaines de milliers d’utilisateurs offre autant de possibilités d’intrusion, surtout quand on pense qu’il suffit souvent d’une erreur d’un seul de ces employés. C’est comme ça que fonctionnent la majorité des rançongiciels (ransomwares) ou des attaques d’hameçonnage (fishing) ou encore les intrusions qui passent par les postes mobiles des utilisateurs nomades pour remonter les tunnels VPN vers le réseau interne (un peu comme les saumons pour frayer).

L’utilisateur est le maillon faible de la sécurité informatique. Il est indispensable de le former, mais ça ne sert globalement à rien. Indispensable, parce que cela peut permettre de limiter la casse et de bloquer certaines attaques, inutile parce que même si vous avez consacré 2 heures par employé par an (aucune entreprise ne fait ça) pour les sensibiliser au problème, il y en aura toujours un qui se fera avoir. Et face aux attaques des pirates ciblées sur les utilisateurs, il ne reste que peu de choses à faire ; limiter les droits des utilisateurs au strict minimum pour qu’un attaquant qui prendrait le contrôle de leur poste n’ait qu’un périmètre d’action restreint (et en particulier pour les administrateurs, séparer les environnements bureautiques et d’administration), avoir un anti-virus à jour en espérant qu’il bloquera les virus et les rançongiciels, et mettre en place du Single Sign-On (SSO).

Le SSO est souvent vu comme un outil pour faciliter la vie de l’utilisateur, mais il apporte de nombreux bénéfices en terme de sécurité. Il évite les mots de passe écrits sur des posts-its, ou stockés dans un fichier « password.doc ». Il permet d’avoir des mots de passe applicatifs forts, complexes, renouvelés régulièrement, inconnu de l’utilisateur (et qu’il ne peut donc pas passer à son collègue – il aurait été bien embêté Jérome Kerviel). Il permet d’éviter que les mots de passe des applications sensibles de l’utilisateur soient les mêmes ou proches de ceux utilisés par ce même utilisateur sur des sites internet parfois peu recommandables (*). Enfin, il permet de bloquer les attaques par hameçonnage (c’est un des effets de bord peu connu mais réel des solutions de SSO).

(*) une étude menée il y a quelques années. Sur un faux site porno, on demandait aux utilisateurs de s’enregistrer avec leur email et de définir un mot de passe. Dans plus de 50% des cas, le mot de passe permettait d’accéder à la messagerie de l’utilisateur.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *