lundi 5 octobre 2015

Attaques cybercriminelles : ça n’arrive pas qu’aux autres ! Retour sur deux exemples de failles de sécurité dans l’actualité récente




Préoccupations majeures des Dirigeants la sécurité et la confidentialité des données dans le Cloud ont été les sujets de plusieurs manifestations la semaine passée.

Ainsi, IDC organisait une tableronde sur le sujet : « Sécurité, une raison suffisante pour ne pas investir dans le Cloud... ou bien, au contraire, un motif d’adoption ? » mardi dernier, alors que les Assisesde la Sécurité et des Systèmes d’Information fêtaient leurs 15 ans du 30 septembre au 3 octobre à Monaco. Enfin, le Club Cloud DSI organisé à l’initiative d’Aspaway s’est réuni mardi 29 octobre pour débattre à propos de la sécurité dans le Cloud ; ce sont plus d’une vingtaine de DSI qui ont partagé leurs expériences et confronté leurs points de vues.

En attendant le compte-rendu de la soirée et la synthèse des débats (disponible prochainement sur le site du Club Cloud), je vous propose de découvrir une petite animation présentée mardi soir qui revient sur le cas Ashley Madison : cet été, des pirates informatiques ont pénétré les systèmes d’information d’Avid Life Media, entreprise canadienne propriétaire du site « Ashley Madison ». Les pirates réclamaient la fermeture du service sous peine de rendre publiques les données confidentielles concernant les utilisateurs. Quelles-ont été les conséquences pour l’entreprise ? Pour les utilisateurs du service ?


Le cas Ashley Madison

Un mois après avoir pénétré le SI d’ALM, les pirates mettent leurs menaces à exécution : ce qui constituait une faille de sécurité tourne au scandale médiatique de l’été. En effet, « Ashley Madison » est le leader américain des rencontres… extraconjugales.

Ce sont plus de 32 millions de membres qui ont vu leur identité révélée et leurs données personnelles accessibles. 

Les pirates ont tout d’abord posté plusieurs fichiers représentant un total de 9,7 Go de données, sur des sites de téléchargement. Nom, prénom, email, adresse, téléphone, … mais aussi numéros de cartes de crédit ou encore préférences sexuelles… l’affaire a vite pris de l’ampleur une fois les données relayées sur les réseaux sociaux et dans la presse.

Quelles-en sont les conséquences ?

Au-delà de l’image ternie de l’entreprise qui garantissait soit disant un service 100% sécurisé à ses abonnés, les utilisateurs dont la vie privée a été étalée se sont retournées contre Avid Life Media. Au total, les plaignants réclament 509 millions d’euros de dédommagement

Parmi les emails publiés, 15 000 adresses appartenant à des membres du Gouvernement (.gov) ou de l’armée (.mil)… mais également 1200 adresses en .sa pour Arabie Saoudite, où l’adultère est passible de peine de mort. 

L’analyse des données publiée à notamment révélé qu’Avid Life Media conservait une partie des données concernant des profils fermés… alors même que ces utilisateurs avait souscrit à une option payante censée effacer toute trace de leur passage sur ce site. 

Avid life Media a promis une récompense de 500 000 $CAD soit 325 000 € à quiconque permettra d’identifier les hackers.

Ce groupe, à priori extérieur à l’entreprise a déclaré s’être attaqué au service pour une question morale. Interrogés sur d’éventuelles nouvelles attaques, ils ont répondu qu’ils ne se limiteraient pas aux sites de rencontre mais cibleraient à l’avenir « toute société qui fait des centaines de millions de profits sur la douleur des autres, les secrets et les mensonges ». Et concernant le cas « Ashley Madison », les pirates ont affirmé détenir 10 fois plus de données, parmi lesquelles des dizaines de milliers de photos collectées dans les profils (1/3 à caractère pornographique) et des échanges emails d’employés ainsi que des documents du réseau interne.


Polémique sur les voitures connectées après le piratage d’une Jeep Cherokee

2ème cas dans l’actualité récente, le piratage à distance, d’une Jeep Cherokee cet été. Une vidéo montre comment 2 chercheurs américains ont réussi à prendre le contrôle du véhicule.



Avec cette démonstration, ils souhaitent mettre l’accent sur les risques créés par la multiplication des outils informatiques connectés à Internet dans les voitures. Dans ce cas précis, Charlie Miller et Chris Valasek se sont appuyés sur le système Uconnect, « un ordinateur connecté à Internet présent dans des centaines de voitures Fiat Chrysler et camionnettes, qui contrôle la navigation et les outils multimédias du véhicule, permet de téléphoner et offre même un hot spot Wi-Fi ».

Ils ont exploité une faille permettant d’entrer dans ce système, à condition de connaître l’adresse IP de la voiture et de passer par le réseau d’un opérateur mobile spécifique. Une fois dans Uconnect, les deux chercheurs ont trouvé le moyen d’accéder à d’autres systèmes informatiques du véhicule et de s’attaquer ensuite à ses mécanismes physiques comme les freins ou le moteur.

Sur l’autoroute puis sur un parking, ils parviennent par exemple à allumer la radio, à monter le volume au maximum et à faire marcher les essuie-glaces sous les yeux du conducteur impuissant. Bien plus grave : ils réussissent à couper le moteur, laissant le chauffeur incapable de redémarrer le véhicule.

Lors d’une seconde démonstration sur un parking, ils parviennent à couper les freins de la Jeep, ce qui envoie la voiture dans un petit fossé. Dans certaines conditions, les deux chercheurs sont même capables de prendre la main sur le volant.

Suite à la diffusion de cette vidéo,  1.4 millions de véhicules ont été rappelés en usine.Enfin, selon Gartner, environ 150 millions de voitures connectées seront en circulation dans le monde en 2020.



Ce film était le point de départ d’une réflexion sur la sécurité des données que nous mettons dans le Cloud volontairement ou non, puisque nos données personnelles transitent également via les objets auxquels nous sommes connectés. Potentiellement, tout objet relié à internet est vulnérable d’où l’importance de développer une politique de sécurité au niveau de l’entreprise, politique qui sera testée régulièrement et renforcée par des scénarios tests permettant d’anticiper et d’être plus efficaces lors de la gestion de crise.



Vous êtes DSI et les sujets liés à la Sécurité, la protection et la confidentialité des données vous intéressent ? Retrouvez la liste des prochains diners organisés par le Club Cloud DSI et inscrivez-vous sur noslistes d’attente, ou contactez directement un de nos conseillers via notre formulaire de contact.


Virginie Kiener
@vkiener