International

Cybersécurité: «Une alchimie entre les personnes et les logiciels!»

Par Reda BENOMAR | Edition N°:5100 Le 06/09/2017 | Partager
john-shier-00.gif

John Shier est conseiller senior en sécurité chez Sophos depuis 10 ans. Il exerce actuellement au sein du pôle technologique du groupe britannique (Ph. JS)

Les cyberattaques massives du ransomware WannaCry et d’Adylkuzz (cf. L’Economiste N°5024 du 16/05/2017) annoncent pour les entreprises un changement de paradigme: souvent considérées comme victimes, elles seront demain perçues comme coupables si elles minimisent les investissements à réaliser pour se protéger. Loin de se limiter à l’aspect technique, les entreprises doivent définir des plans d’action. En effet, la cybersécurité n'est pas qu'une affaire de technologie. Elle met également en jeu les collaborateurs, les informations, les systèmes, les processus, la culture et l'environnement physique.

- L’Economiste: Pouvez-vous définir ce qu'est un appareil zombie? Comment marche-t-il?
- John Shier:
Un zombie ou un bot est un appareil qui a été infecté par un malware et qui est contrôlé par un cybercriminel, sans que le propriétaire n’en soit même conscient. Un groupe de bots est appelé botnet. Cela peut être un ordinateur, un smartphone ou  n’importe quel autre objet doté d’une connexion. Les objets connectés sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Une fois infecté, l’appareil peut être contrôlé à distance. Le hacker peut aussi intercepter les informations transitant par la machine et lui faire exécuter des commandes pour son propre compte.

- Quel est le champ d’action d’un réseau de botnets?
- Les botnets sont souvent utilisés pour lancer des attaques contre des serveurs ou envoyer des spams. Après que le hacker ait collecté toutes les informations intéressantes de la machine infectée (informations personnelles, numéros de cartes de crédit, mots de passe,…), il monétise son intrusion en vendant le botnet qu’il a constitué sur le deepweb, à prix d’or, a une autre personne malintentionnée qui souhaite l’utiliser sur «le terrain», pour lancer une attaque DDoS par exemple. Les machines zombies dormantes sont réveillées et servent de vecteur d’attaque. Cette stratégie est redoutable d’efficacité car les appareils infectés sont dispersés géographiquement, ce qui rend la détection de la source de l’intrusion très compliquée.

- Tous les systèmes d'exploitation sont-ils si vulnérables aux rootkits?
- Les rootkits sont connus pour leur capacité à infecter tous les systèmes d’exploitation. Et cela très discrètement car les techniques mises en œuvre par ces logiciels malveillants ont pour but d'obtenir et de pérenniser un accès non autorisé à un ordinateur de la manière la plus furtive possible. Il faut savoir qu’aucun système d’exploitation n’est imperméable. C’est souvent grâce à une faille software ou système dans l’OS que le hacker s’introduit. Autre cause de l’infection, si l’utilisateur n’est pas vigilant et installe un rootkit déguisé en logiciel ou application par exemple, sa machine devient vulnérable, même si le système est patché et à jour.

- Comment reconnaître les signes d'une infection?
- Les virus modernes essayent d’agir le plus discrètement possible. Quelques indicateurs sur une potentielle infection sont, entre autres, un volume anormal d’échanges IRC, UDP et SMTP (mails) qui pourrait suggérer l’appartenance à un réseau botnet.

- Les antivirus et autres logiciels sont-ils efficaces contre ces intrusions?
- L’utilisation d’un anti-malware, d’un pare-feu et/ou d’un antivirus réduit grandement les risques d’infections. Une stratégie de sécurité complète doit également inclure des technologies telles que du software nouvelle génération, régulièrement mis à jour. L’utilisation de logiciels disposant de suite de sécurité intégrée rajoute une couche supplémentaire de protection aussi. Mais au final c’est vraiment la façon de manipuler la machine et les précautions à prendre côté utilisateur qui peuvent changer la donne et protéger la machine là où la technologie ne peut le faire.

- Que conseilleriez-vous aux grandes entreprises organisées en réseau?
- Plus il y a de machines (et d’utilisateurs) dans un réseau, plus les opportunités sont alléchantes pour un hacker de s’introduire dans le système. La meilleure façon de protéger l’organisation est une savante alchimie entre les personnes et les logiciels. Ces derniers inclus toutes les technologies de sécurité qui détectent et traitent les intrusions (pare-feu, antivirus,…). Les personnes seront elles utiles pour configurer et surveiller ces remparts et agir quand il est nécessaire. C’est pour cela que la sensibilisation aux risques de cybercriminalité doit être une priorité au sein de l’organisation. Afin de ne pas se sentir dépassé si une attaque de grande envergure survenait. L’exemple criant est la récente attaque du ransomware WannaCry, qui a fait beaucoup de dégâts. Dans une organisation, ces deux variables doivent être continuellement évaluées et adaptées afin de répondre aux nouvelles menaces et techniques des hackers qui évoluent sans cesse.

Carte de visite de Sophos

Création: 1985
Effectif: 2.000 salariés
Domaine d’activité: Conseil,
Cybersécurité
Chiffre d’affaires 2016:
526 millions de dollars

Propos recueillis par Reda BENOMAR

 

  • SUIVEZ-NOUS:

  • Assabah
  • Atlantic Radio
  • Eco-Medias
  • Ecoprint
  • Esjc