Les professionnels de l’informatique consomment beaucoup de temps et de ressources à identifier et éliminer les vulnérabilités d’un système. Et parallèlement nous attendons des logiciels déployés qu’ils contiennent un code sans erreurs, sans vulnérabilités. Or le code parfait n’existe pas, il y aura toujours des vulnérabilités.
Les distributeurs de logiciels, les clients ou les professionnels de l’informatique doivent savoir que tout logiciel, installé ou embarqué, contient des vulnérabilités connues, inconnues ou à venir. Le travail d’un expert en sécurité informatique est d’éliminer ou de limiter le nombre de chemins menant à ces vulnérabilités, et d’en minimiser les conséquences. Le but est atteint en limitant l’exposition des systèmes cibles, en contrôlant les accès réseau et système ou encore en appliquant le principe de moindre privilèges. On appelle cela limiter la surface d’attaque.
Définitions
Commençons par éclaircir quelques points essentiels.
L’attaque. Bien qu’elle paraisse évidente, et qu’aujourd’hui presque tout le monde pourrait en donner une définition, il est important de comprendre précisément ce qu’est une attaque informatique. Il s’agit d’une série d’actions entreprises sur un système ayant pour conséquence de modifier l’état du système. Premièrement, les attaques sont aujourd’hui de plus en plus complexes et utilisent parfois plusieurs failles en cascade. Ensuite, le but d’une attaque n’est pas nécessairement le crash d’un système : on peut vouloir s’y introduire pour voler des documents, modifier le fonctionnement ou simplement espionner.
Vulnérabilité. On considère généralement une vulnérabilité comme une «faiblesse» dans un système, mais cette définition n’est elle aussi pas suffisante. Au regard de la surface d’attaque, une vulnérabilité est un comportement factuel du système différent du comportement prévu lors de la conception.
Surface d’attaque. La surface d’attaque représente la somme des vulnérabilité et des contrôles d’accès sur l’ensemble du réseau et du système : l’ensemble des cibles exposées au attaquant.
Réduire la surface d’attaque
Il existe un moyen simple de réduire la surface d’attaque d’un système : fermer l’ensemble des services et ressources, l’ensembles des canaux de communication et des protocoles. Vous n’allez pas vous retrouver avec un système très utilisable en revanche…
La réduction de la surface d’attaque commence au plus bas niveau : le firmware. Les ordinateurs modernes sont équipés d’interface firmware du typer UEFI, qui permettent un contrôle des firmware (trusted boot) lors du démarrage de la machine. Les exemples d’exploitation de failles dans les firmwares sont nombreux, l’UEFI et le trusted boot sont donc très utiles.
Mises à jour et correctifs
Comme toujours, la première chose à faire pour réduire la surface d’attaque d’un système est d’appliquer les mises à jour et les correctifs de sécurité.
Oui, les mises à jour n’empêcheront pas toutes les vulnérabilités, mais les faire demande un minimum d’effort et limite l’exploitation de vulnérabilités déjà corrigées. Pourquoi ignorer ce travail déjà fait pour nous?
Fermer les ports et les services inutilisés
Les ports ouverts ou les services actifs sont autant de portes ouvertes invitant n’importe quel malware ou attaquant à venir s’installer. Il faut donc verrouiller le système et fermer ce qui n’est pas utilisé parmi les :
- Ports
- Protocoles
- Services
- Applications
- Accès au système de fichiers
- Interfaces graphiques
- Communication entre les processus
Dans l’exemple d’un serveur, si son simple but est d’opérer comme un serveur de messagerie, il n’y a aucune raison d’installer le service de serveur d’impression et encore moins de l’activer, ce qui va ouvrir les ports correspondant.
L’élément humain
Peu importe le nombre d’outil de contrôle utilisé, le nombre réduit de service ou de ressources exposés, les utilisateurs authentifiés peuvent rendre une attaque possible avec un simple clic. Appliquer strictement le principe de moindre privilège ou segmenter l’information peut limiter grandement les risques, mais pas les éliminer entièrement.
Limiter la surface d’attaque sur l’élément humain demande un travail d’éducation, de mise en place de bonnes pratiques. Il faut arriver à ce que l’utilisateur comprenne la politique de sécurité et en devienne un acteur, et non quelqu’un qui la subit. L’utilisateur est l’acteur majeur en ce qui concerne la confidentialité, l’intégrité et l’authenticité. Parmi les points à aborder, se trouvent les suivant :
- La définition de la sécurité de l’information et pourquoi elle est importante
- La définition de la politique de sécurité de l’entreprise et sa traduction en habitudes quotidienne
- La définition des données /informations sensibles en fonction de l’entreprise
- Les procédures à respecter lors de la manipulation de données sensibles
- Les conséquences d’une éventuelle attaque et de la diffusion d’informations sensibles
En résumé…
La surface d’attaque doit être considérée au plus tôt lors de la phase de conception d’un système, et mesurée régulièrement lors de son déploiement. Plus la surface d’attaque de votre système est grande, plus vous allez passer de temps à contrôler la configuration et la sécurité de vos applications. Or, souvenez-vous, le code parfait n’existe pas.