Le rôle du facteur humain dans la sécurité informatique

Cet article n’a pas pour but de donner la chair de poule aux lecteurs afin qu’ils se précipitent acheter un logiciel de sécurité pour protéger leur ordinateur. Le but de cet article est tout autre – partager les idées d’un analyste viral confronté quotidiennement à l’analyse de méga octets de code et à la lecture de dizaines de messages d’utilisateurs exposant leurs problèmes face aux virus.

La sécurité informatique vu comme un système

La sécurité informatique est un ensemble complexe de mesures et doit être considérée comme un système. La sécurité informatique possède différents aspects, et aucun ne doit être négligé. Ici tout a de l’importance.

La sécurité informatique ne diffère en rien de la sécurité en général. Dans la vie courante, personne n’ira poser une porte blindée sur un bâtiment en bois. C’est la même chose pour la sécurité de l’informatique, il est crucial d’entreprendre une série de mesures de protection sur tous les points dont l’environnement est agressif. Toute source d’information, que ce soit l’ordinateur d’un internaute, le serveur d’une société, un système de fichiers, le réseau etc. doit être totalement intégralement. Les moyens pour assurer cette protection ne seront pas abordés ici mais notons que l’accès à ces données doit lui aussi être sécurisé, et les personnes travaillant avec l’information doivent être considérés comme un des maillons de la chaîne qui assure la performance et la sécurité du système dans son ensemble.

L’individu – partie intégrante de ce système

Il existe un large panel de logiciels de sécurité – les pare-feux, les systèmes de détection d’intrusion, les antivirus etc. – et chacun d’entre eux remplit des fonctions bien définies. En revanche, l’utilisation des meilleurs logiciels, des technologies les plus avancées, des algorithmes de chiffrement n’assurera jamais à 100% l’invulnérabilité du système. Le développement de ces solutions est en effet réalisé par des individus et comme chacun le sait, l’erreur est humaine. L’homme est l’élément le plus vulnérable au sein du système de sécurité. Le facteur humain est très souvent responsable du « succès » de nombreuses attaques. Examinons les raisons pour lesquelles les cyber-criminels se servent de l’individu comme brèche dans le système de protection.

Les vulnérabilités possibles dans le système de sécurité

De nombreux internautes sous-estiment la vraie menace qui les guette lors de l’utilisation d’un logiciel vulnérable. Beaucoup considèrent l’ordinateur comme une « boîte noire », ne comprennent pas réellement comment il fonctionne mais à leurs yeux cela n’a pas vraiment d’importance. Les utilisateurs veulent se servir d’un ordinateur comme d’un appareil ménager sans trop s’encombrer des détails techniques. Nombreux sont à penser que les virus, les pirates sont une pure invention de la part des éditeurs de logiciels de sécurité. Sans compter que certains « spécialistes » de la sécurité estiment que les virus sont pour les « utilisateurs stupides » et que les antivirus représentent une dépense inutile. Ils partent du principe qu’il suffit d’installer tel système d’exploitation dans lequel ne s’infiltrent pas les virus, et des programmes exempts de vulnérabilités. Or, un tel comportement relève de l’utopie.

Sous-estimer les menaces n’est qu’une partie du problème. Le facteur humain n’est pas non plus en reste pour ce qui est du développement et la réalisation des mesures de sécurité. De nombreuses brèches apparaissent au cours du développement de ces technologies.

Par exemple, la sécurité des réseaux sans fil est dans un état lamentable du fait que des erreurs ont été commises lors du développement des protocoles. On n’écrit autant au sujet des logiciels de sécurité qu’au sujet de leurs erreurs de programmation et malgré le fait que les programmeurs et les testeurs identifient les trous de sécurité, d’autres seront toujours créés par inadvertance.

Et peu importe le caractère irréprochable de la technologie choisie, il faut encore la mettre en oeuvre. Or il s’agit du travail d’individus, et même équipé du meilleur pare-feu, ce dernier ne vous sauvera pas si vous êtes face à un piètre système administrateur.

A l’heure où ces lignes sont écrites, le ver Lupper commence à prendre de l’ampleur. Il utilise pour sa diffusion des vulnérabilités déjà connues, et si l’administrateur lit régulièrement les listes de diffusion sur la sécurité et corrige au fur et à mesure les failles détectées, il a toutes les chances que le ver n’infecte pas son système. Qui plus est, ce type de situation est caractéristique aux vers. Au début, une notification apparaît concernant l’erreur produite mais peu en font cas ; même après l’apparition du code conceptuel démontrant comment exploiter l’erreur donnée, peu comprennent le sérieux du problème. Et la propagation à grande échelle de Lupper et des autres vers ne fait que confirmer ce fait.

Un autre exemple d’approche désordonnée du problème de la sécurité est la façon dont les utilisateurs se conduisent avec l’information confidentielle. Là encore on éprouve le besoin de faire une analogie avec la vie quotidienne. Il est peu probable que vous laissiez vos clés dans la serrure ou que vous les pendiez dans un lieu public. Or combien de systèmes utilisent un mot de passe vide ou un mot de passe identique au login ? Le problème est résolu si l’administrateur oblige l’utilisateur à imaginer un mot de passe efficace. Et pourtant, n’avez vous jamais vu mot de passe écrit sur un post-it collé au moniteur ? C’est malheureusement très courant. Et c’est le genre de situations dont un cyber criminel peut profiter.

Une grande majorité d’entre nous se sont déjà heurtés aux vers de messagerie, et savent qu’ils se propagent sous forme de pièce jointe au courrier électronique. Mais envoyer un ver n’est que la moitié du travail. Il faut faire en sorte que le ver soit activé sur la machine à distance et entame sa multiplication. Il semblerait que les internautes comprennent le danger des pièces jointes inconnues qu’ils reçoivent d’expéditeurs inconnus et qu’ils ne les ouvrent pas. Or ici intervient un élément en faveur du cyber criminel et qui est très difficile à vaincre – il s’agit de de la curiosité humaine. Il suffit d’accompagner la lettre d’un texte crédible et nommer le fichier avec un nom en rapport et la majorité des destinataires ouvrent le fichier comme le démontre les résultats flagrants de notre enquête ci-dessous :

Qu'est ce qui vous pousse a ouvrir les pieces jointes suspectes?
Qu’est ce qui vous pousse à ouvrir les pièces jointes suspectes?

Qui plus est, malgré les incessantes recommandations des sociétés antivirus, le nombre d’internautes à ne pas ouvrir ces fichiers, n’augmente pas. C’est simple à expliquer : les auteurs des programmes malicieux ne restent pas sans rien faire et font preuve d’un terrible dynamisme dans l’assimilation de nouvelles manières d’exploitation de la curiosité et de la confiance aveugle des internautes.

Par ailleurs, les vers de messagerie ne se diffusent pas uniquement sous forme de fichiers attachés aux emails. Ces derniers temps, au lieu d’envoyer le corps du ver directement, les auteurs malicieux envoient des liens vers eux. Dans cette chaîne de diffusion du ver, l’utilisateur est là aussi indispensable. Or comment l’obliger à cliquer sur le lien et exécuter le ver ? C’est en fait très simple. Regardons pour cela l’exemple du ver Email-Worm.Win32.Monikey qui diffuse des messages du type suivant:

Message type envoyé par le ver Email-Worm.Win32.Monikey.
Message type envoyé par le ver Email-Worm.Win32.Monikey.
Bonjour,
Vous venez de recevoir une carte. Pour la visualiser, cliquez sur l’adresse suivante : http://www.postcard.ru/get/1871210636 Puis cliquer sur « ouvrir la carte ». Cette carte sera disponible pendant 30 jours.

Service de diffusion de cartes de voeux
http://www.postcard.ru/

A première vue, il s’agit d’un message ordinaire. Et il semble logique d’ouvrir le lien indiqué afin de consulter la carte virtuelle. C’est justement sur ça que s’appuient les auteurs de programmes malicieux : l’internaute qui ne se doute de rien, essaye de regarder la carte et active le corps du ver. Comment se débarrasser de ce fléau ? Comment reconnaître un message malicieux d’un inoffensif ? Regardons par exemple un message en provenance de POSTCARD.RU.

Message type envoyé par le service POSTCARD.
Message type envoyé par le service POSTCARD.

Avant tout il faut prêter attention au fait que la lettre de l’illustration 1. est écrite à l’aide de html. C’est indispensable au ver pour masquer dans la lettre le lien malicieux sur le site des malfaiteurs et afficher le lien dirigeant soi-disant sur POSTCARD.RU.

En regardant bien la lettre de l’illustration 2, on s’aperçoit que le service de POSTCARD.RU attire l’attention de l’utilisateur (en rouge) sur cette éventualité (« A l’attention des administrateurs systèmes – les notifications concernant la réception de cartes virtuelles du service POSTCARD.RU sont exclusivement en plain-text. Si le message reçu contient du code html alors il s’agit d’un faux).

Pour consulter la carte, il suffit de copier le lien indiqué et l’ouvrir dans la fenêtre du navigateur. Si le lien ne contient pas de sous-domaine, alors la page s’ouvrira sans problème. Mais en aucun cas, ne cliquez directement sur les liens, indiqués dans les messages HTML. Dans ce cas là, l’URL frauduleuse, invisible de l’utilisateur, s’active.

Il n’y a pas si longtemps, nous avons détecté un spam à la fin duquel se trouvait le texte suivant « si vous souhaitez annuler votre inscription et ne plus recevoir nos messages – cliquez sur le lien suivant ». Face à cette proposition, il est certain que l’internaute, soucieux de se débarrasser de cette correspondance indésirable a cliqué sur ce lien sans attendre. Or, il s’avère qu’une fois le lien exécuté, une page html s’ouvre, vérifiant soi-disant la base des abonnés puis ensuite affiche ce message « votre adresse est supprimée de la liste de diffusion ». En réalité, l’internaute se voit installé deux programmes malicieux – Trojan-Dropper.Win32.Small.gr et Trojan-Spy.Win32.Banker.s. Il faut bien savoir que les spammeurs se moquent bien de la tranquillité des internautes, et s’ils disposent de votre adresse, ils vous enverront du courrier indésirable à la moindre occasion. En aucun cas, on ne vous offrira d’annuler votre inscription ou bien uniquement dans un but malicieux comme le montre cet exemple.

Cet été, on a identifié une nouvelle cible du targeting (targeting – diffusion ciblée). Les auteurs malicieux ont envoyé un spam vers des adresses électroniques appartenant au personnel d’une entreprise au nom de leurs supérieurs hiérarchiques. Une telle attaque est possible car le message électronique peut être formé de manière particulière et dans le champ de l’expéditeur, le destinataire verra effectivement l’adresse de son chef. En cas de réponse, la lettre sera dirigée vers l’adresse du malfaiteur. Il est clair qu’à la réception de ce type de courrier, le malheureux employé va faire son possible pour satisfaire la demande du « supérieur » et il est très probable qu’il exécute le programme malicieux. Il faut noter cependant que de tels incidents font rarement du bruit dans les media du fait que les services de communication des sociétés victimes bloquent la diffusion de ce type d’informations.

Dans les diffusions de programmes malicieux, la popularité des antivirus est souvent exploitée. Le cyber criminel atteint deux buts d’un seul coup : l’utilisateur naïf exécute le ver et la diffusion qui s’en suit entache la réputation de la société antivirus. Il n’est pas rare qu’après de tels incidents, de nombreux internautes se mettent à penser que les sociétés antivirus diffusent des mises à jour infectées ou simplement cessent de mettre à jour leurs programmes ce qui remet en cause leur utilité. Il faut bien comprendre que jamais une société antivirus ne diffuse ces mises à jour antivirus par emails. Par ailleurs, tout ce qui arrive par email, il ne faut pas l’installer sur son ordinateur. Un des exemples les plus brillants d’exploitation de la popularité d’un moyen de protection est le ver de messagerie Email-Worm.Win32.Swen qui s’est très habilement fait passé pour un patch de Microsoft, et qui a foudroyé quelques centaines de milliers d’ordinateurs dans le monde entier en un temps record. L’auteur du virus a parfaitement su tirer profit de la situation au moment où les internautes étaient effrayés par l’incident Lovesan.

Il faut tout particulièrement remarquer la vitesse avec laquelle les auteurs de virus réagissent aux évènements – tout est bon pour obtenir une nouvelle possibilité d’infecter les internautes : les attentats à Londres, la crise énergétique de 2005 à Moscou, l’ouragan « Katrina » et autres tragédies, sont immédiatement suivies de diffusions massives de spams et de programmes de Troie exploitant l’information tragique.

Il est en de même pour les pagers Internet (programmes de messagerie instantanée tels que ICQ. Miranda etc.). Comment infecter des ordinateurs via ce type de programme ? La plupart du temps les auteurs de virus diffusent des liens vers le corps du ver, ce dernier sera activé après que l’utilisateur clique sur le lien. Afin d’augmenter la probabilité que l’utilisateur clique sur le lien, les malfaiteurs utilisent la même méthode que nous avons évoqué dans la partie sur le courrier électronique. Mais ici, les cyber-hooligans sont allés encore plus loin comme le confirme le programme de Troie Trojan-PSW.Win32.LdPinch. Ils ont décrété à raison qu’en recevant un lien via pager, l’utilisateur va éprouver le besoin de communiquer. Et les auteurs de ce programme malicieux ont développé un programme bot pour générer des réponses crédibles aux utilisateurs recevant ce lien.

Les cyber-criminels sont aussi très attachés à une vieille méthode d’exploitation des liens qui a fait ses preuves. Cette méthode est basée sur l’altération du lien mais de telle façon qu’au premier abord, l’utilisateur ne remarque pas la substitution. Par exemple, remplacer la lettre I par l. Nous avons observé l’utilisation de cette méthode cet été lorsque nous avons intercepté le énième ver IM qui se diffusait via MSN Messenger. Le lien semblait provenir du site officiel d’une organisation anti-virus de renom. Le lien était le suivant http://www.vbulettin.com/xxxxxxx. Alors que le lien véritable du site du magazine Virus Bulletin se présente comme suit : www.virusbtn.com. Nombreux sont les utilisateurs à n’avoir pas prêté attention à la différence et à avoir cliqué sur le lien activant ainsi le ver.

Dans tous les cas étudiés, le programme malicieux est envoyé à l’utilisateur. Avec une telle approche, une partie des internautes émet des doutes quant à la nécessité absolue d’exécuter le programme. Comment s’y prendre pour que l’utilisateur ne reçoive rien mais se heurte de lui-même au programme malicieux lors de ses navigations sur Internet ? C’est pour cette raison que l’on enregistre ces derniers temps de plus en plus des cassages de site dans le but d’y installer des programmes malicieux. Pourtant, la durée de vie des programmes malicieux sur ces sites n’est que de quelques jours, mais c’est suffisant pour infecter des milliers d’internautes.

Monikey est un exemple typique d’une méthode indiquée plus haut. Nous avons expliqué que dans des messages infectés, le ver dissimulait des liens vers des sites où se trouvait le corps du ver. Or, le corps de ce ver se trouvait sur des sites tout à fait légaux après y avoir été placé par les auteurs de ce programme malicieux. Dans le cas présent, le mécanisme d’installation du ver n’a pas réussi mais nous soupçonnons que l’opération a été réalisée à l’aide de vols de comptes d’utilisateurs pour accéder aux ressources de ces sites. Dans ce cas la réaction des administrateurs système des sites compromis nous interpelle, car ils ont supprimé le corps du ver sans bloquer le compte utilisateur. Aussi faut-il noter que le ver, avec une constance enviable, apparait sur ces mêmes sites, sur lesquels du moins pour certain, on peut voir le message suivant:

Message sur un des sites corrompus.
Message sur un des sites corrompus.
Mesdames et messieurs ! Les représentants de —— en Russie annoncent officiellement : le site ——- n’a pas effectué de diffusions massives d’emails. Il est très probable que le site ait été victime d’attaques Internet de la part de délinquants. Veuillez nous excuser de cet incident. Nous faisons notre possible pour régler ce problème. Merci de votre compréhension.

Une méthode encore plus subtile consistant à diffuser ces oeuvres via des sites a été imaginé par des auteurs de virus de Nijnii-Novgorod, qui proposaient de payer aux Web-masters 6 centimes de dollars par infection par programme de Troie qu’ils devaient placer sur leur site. Le plus inquiétant est que la plupart des Web-master ont accepté le marché.

Tout cela pour dire que les utilisateurs ne peuvent être protégés lors de leur navigation sur le réseau. La psychologie, les particularités du comportement de l’individu sont largement exploitées par les cyber-criminels via la technique du social engineering (ingénierie sociale). Le cyber-criminel a bien souvent recours à cette méthode lorsqu’il ne sait comment s’y prendre pour s’infiltrer dans le système. Il peut faire la connaissance d’un des employés de l’organisation dans laquelle il souhaite s’introduire, pour obtenir des informations basiques qui lui permettront d’atteindre le système. Parfois même, il est possible de s’introduire dans le système sans avoir recours à des astuces techniques. Par exemple, l’auteur malicieux peut téléphoner à l’organisation qui l’intéresse, et se présentant comme un des employés – nouveau système administrateur par exemple – peut obtenir des informations très utiles – liste des employés avec les numéros de téléphones, les adresses IP des serveurs de la société etc. Avec ce type d’informations, le criminel a un solide point d’entrée pour passer à l’attaque.

Conclusion

L’informatique s’immisce toujours plus loin dans différents domaines de la vie courante de l’individu et c’est la raison pour laquelle la cybercriminalité prend de l’ampleur à grande vitesse.

Construire un système de sécurité fiable dans le monde informatique d’aujourd’hui est loin d’être simple. Il existe un grand nombre de points faibles dans un système. Le processus de recherche des failles et leur correction est un travail continu. Pour régler les problèmes actuels, en remplacement des technologies obsolètes, arrivent de nouvelles, qui à leur tour font preuve de défauts. De nouvelles astuces sont inventées pour contourner les nouvelles technologies qui semblaient cette fois sans faille. Deux camps s’affrontent – les criminels informatiques et les spécialistes de la protection qui luttent sans cesse. A notre grand dommage, il faut noter que cette bataille se poursuit avec un succès tangent. Qui plus est, le comportement de beaucoup d’utilisateurs peut faire pencher dangereusement le poids dans la balance au profit de l’un comme de l’autre. L’individu, au comportement parfois imprévisible peut réduire à néant des efforts énormes passés à l’édification d’un système de sécurité fiable et résistant.

Il reste à espérer qu’après la lecture de cet article une partie des internautes sera plus alerte sur le thème de la sécurité informatique et lui accordera toute l’attention qu’elle mérite.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *