Dans le cadre du Colloque québécois de la sécurité information, les conférenciers qui se sont relayés, avaient presque tous le même objectif : nous inquiéter. Deux exemples.
Au Colloque québécois de la sécurité information (CQSI 2008), auquel j’assistais la semaine dernière à La Malbaie, les spécialistes de la discipline se sont donné pour mandat de nous alarmer en nous décrivant, voire en nous démontrant en direct, les dangers qui nous attendent. De quoi nous rendre paranoïaque.
Le premier à nous inquiéter a été Michel Cusin, expert en sécurité chez Bell, un « hacker » qui travaille du bon côté de la « force », qui avait passé une partie de la soirée précédant sa présentation à monter sur place un environnement comprenant serveurs et coupe-feu, afin de nous faire une démonstration qu’avec certains procédés relativement simples de XSS (Cross side scripting), un programmeur malicieux pouvait réussir à se servir de votre PC pour attaquer un serveur, sans se faire voir. La technique ainsi illustrée n’était pas détectée par le coupe-feu, ni par le détecteur d’intrusion et arrivait à aller attaquer un serveur externe en se plaçant derrière un serveur mandataire (proxy) anonyme…
Un autre exemple encore plus simple de vulnérabilité : suffit d’entrer un petit bout de code JavaScript banal, affichant une fenêtre de message par exemple, dans un champ de nom d’usager ou de mot de passe. Dans nombre de cas, plutôt qu’être validé pour voir si les caractères correspondaient ou non à ce qui est attendu comme mot de passe ou nom d’usager et éventuellement rejeté, le bout de programme JavaScript est exécuté, dans le champ du mot de passe ou du nom d’usager.
Banal sans doute, croirez-vous. Tout dépend du code Java qui est exécuté. S’il est malicieux, gare à vous.
La réalité ressemble à la fiction
C’était le titre de la conférence de Jacques Viau sur les menaces Internet. Bien connu dans le milieu, M. Viau est expert en sécurité à l’ISIQ et ancien policier au SPCUM où il a fondé l’unité d’enquête sur la criminalité technologique.
Si M. Viau constate que la sécurité a beaucoup évolué au niveau stratégique avec des méthodes, des normes et des outils, il se demande pourtant, alors qu’on parle de Web 2.0, et même 3.0, si on est prêt pour le Web 1.5, en matière de sécurité. Il y aurait à son avis beaucoup de place à l’amélioration.
Notamment, mentionne-t-il, il faudrait qu’on s’organise sur la réponse aux incidents : on n’a pas, par exemple, d’organisme de type CERT (Computer Emergency Response Team) au Québec.
Risques technologiques
Parlant de Twitter et des microblogues, M. Viau s’interroge sur le niveau de sécurité d’un service comme Yammer qui offre des microblogues corporatifs, mais externalisés. « Combien de temps avant la première vulnérabilité? », s’interroge-t-il.
Il s’inquiète sur la méconnaissance par les utilisateurs des risques des réseaux Wi-Fi publics non sécurisés, soulignant que, par exemple, les mots de passe vers les serveurs de courriels sont souvent passés en clair sur le réseau, ce qui est facile à saisir pour qui a de mauvaises intentions.
Il souligne que les délits technologiques touchent tout le monde, même ceux qui ont sans doute des politiques sur la sécurité à toute épreuve, citant au passage le récent vol d’un portable à la Banque Nationale, les faux courriels de Stephen Harper ou le hacking du courriel de Sarah Palin.
Il redoute JS et VBS, selon lui les deux sources en plus grande croissance pour la vulnérabilité sur le Web, qui par ailleurs proviennent de plus en plus de sites légitimes qui ont été hackés. Il suggère même de faire attention aux cartes de Noël en format flash et aux autres images qu’on vous envoie régulièrement.
Il recommande que la haute direction soit consciente du risque pour la survie de l’organisation, et qu’elle désigne un « coach de la sécurité », qui connaît aussi les opérations et la programmation, et qui soit impliqué dès le début des projets de développement.
Comme quoi la sécurité de l’information doit être envisagée globalement, dans l’ensemble des processus des organisations. Et très haut en amont.
Patrice-Guy Martin est rédacteur en chef du magazine Direction informatique.
À lire aussi cette semaine: La politique Web 2.0 – partie 2 : les blogues, les réseaux sociaux et le vote stratégique Charles Sirois : savoir prendre des risques L’actualité des TI en bref Pourront-ils innover davantage? Et moi et moi et moi…
