Erreurs de cybersécurité à Nakatomi

Nous avons analysé le premier film de la saga Die Hard en termes de cybersécurité.

Beaucoup de personnes profitent des vacances pour regarder leurs films préférés en famille et, dans la plupart des cas, comme ce sont les mêmes chaque année, ces soirées deviennent une tradition familiale. Certains préfèrent les comédies de Noël alors que d’autres optent plutôt pour des mélodrames. Quant à moi, mon film de Noël favori est la saga Die Hard. Après tout, 60 % des rencontres entre John McClane et les terroristes ont lieu la veille de Noël et je suis loin d’être le seul à associer ce film d’action avec les fêtes de fin d’année.

Il est vrai que l’intrigue de Die Hard 4 : Retour en enfer se concentre principalement sur la cybersécurité d’une infrastructure critique, point sur lequel nous reviendrons en temps voulu, mais si on y regarde de plus près on trouve aussi de nombreux exemples de bonnes et mauvaises pratiques en cybersécurité dans le premier film (Piège de cristal).

Après tout, la Nakatomi Corporation emploie la plupart des technologies de pointe actuelle : un ordinateur central qui se synchronise avec les serveurs qui se trouvent à Tokyo, un coffre-fort avec une serrure informatisée et même une borne d’information tactile dans le hall. N’oubliez pas que nous sommes en 1988.

Sécurité physique au Nakatomi Plaza

Les problèmes de sécurité apparaissent dès le début. John McClane, notre protagoniste, entre dans le bâtiment et s’adresse au vigile pour lui mentionner le nom de sa femme à qui il vient rendre visite. Il n’a à aucun moment décliné son identité ou présenté un quelconque moyen d’identification. Il ne devrait pas non plus pouvoir rentrer en disant le nom de sa femme. Leur mariage est au bord du gouffre et elle utilise à nouveau son nom de jeune fille au travail.

Au lieu d’interroger l’intrus, le vigile négligent lui indique seulement où se trouve la borne d’information puis les ascenseurs. En résumé, n’importe qui peut entrer dans le bâtiment. Tout au long du film, nous ne cessons de voir des ordinateurs non protégés par un mot de passe dans tout le bâtiment ; ils sont tous ouverts à des attaques de type Evil-Maid (femme de chambre malveillante).

Accès aux systèmes d’ingénierie

Peu de temps s’est écoulé avant que les criminels n’entrent dans le bâtiment, tuent les vigiles (il n’y en a que deux la veille de Noël) et prennent le contrôle du bâtiment. Évidemment, un seul ordinateur contrôle tous les systèmes d’ingénierie du Nakatomi Plaza et il se trouve dans la salle de sécurité, juste à côté de l’entrée.

Le seul pirate informatique de ce groupe de terroristes, Theo, pianote sur quelques touches et jackpot ! Le garage est bloqué et les ascenseurs et les escaliers mécaniques arrêtent de fonctionner. L’ordinateur est déjà en marche (même si la pièce est vide) et n’est pas protégé contre les accès non autorisés. L’écran est même déverrouillé ! Il est tout simplement impensable qu’un employé de l’entreprise (qui travaille dans le département de sécurité) laisse l’écran déverrouillé.

Sécurité du réseau

La première chose que les terroristes demandent au président de Nakatomi Trading est le mot de passe de l’ordinateur central de l’entreprise. Takagi, qui pense que les intrus veulent obtenir des informations, partage un détail intéressant sur les pratiques de sécurité de l’entreprise : lorsque c’est le matin à Tokyo, toutes les données auxquelles les cybercriminels ont eu accès sont modifiées, afin d’ébranler les tentatives de chantage. Nous pouvons en tirer deux conclusions :

  1. Les systèmes d’informations de Nakatomi à Tokyo savent qui a eu accès à quoi et quand. Voilà un système de sécurité plutôt bien pensé. Il est aussi possible que ce soit du bluff.
  2. De plus, il semblerait que Takagi ne sache rien des fuseaux horaires. La nuit vient juste de tomber à Los Angeles. Les intrus sont entrés au crépuscule et on peut voir pendant cette conversation qu’il fait nuit noire dehors. Ils disposent donc d’au moins 10 h 30 avant qu’il ne fasse jour à Tokyo.

Sécurité du poste de travail de Nakatomi

Les gangsters expliquent qu’ils ne sont pas vraiment des terroristes et qu’ils veulent simplement accéder au coffre-fort, pas aux informations. Takagi refuse de leur donner le code, leur conseille de se rendre à Tokyo pour voir s’ils ont plus de chance et meurt.

Si on laisse de côté le meurtre, il y a un point particulièrement intéressant. Si on s’attarde sur le poste de travail de Takagi, on découvre que son système d’exploitation, Nakatomi Socrates BSD 9.2 (sans aucun doute un descendant fictif de Berkeley Software Distribution), exige deux mots de passe : Ultra-Gate Key et Daily Cypher.

Comme son nom l’indique, un est fixe et l’autre change tous les jours. Voilà un brillant exemple d’authentification à deux facteurs, du moins par rapport aux normes de 1988.

Accès au coffre-fort

Sept serrures protègent le coffre-fort. La première est informatisée, les cinq autres sont mécaniques et la dernière est électromagnétique. Si le pirate informatique Theo veut être crédible, il lui faudra au moins une demi-heure pour déchiffrer le code de la première, puis entre deux heures et deux heures trente pour débloquer les mécaniques. La septième s’active automatiquement à ce moment-là et son circuit ne peut pas être interrompu localement.

Si nous laissons de côté cette notion hautement discutable (je suis peut-être rouillé en physique mais je sais que l’électricité passe généralement par des câbles que l’on peut toujours couper), passons au prochain défaut flagrant. Si le système de sécurité du coffre-fort peut envoyer un signal pour activer une serrure, pourquoi ne peut-il pas avertir la police qu’il y a une tentative d’accès non autorisé ? Ou au moins déclencher une alarme ? Il est vrai que les malfaiteurs ont coupé les lignes téléphoniques mais l’alarme incendie arrive à envoyer un signal au 911.

À part ça, il est intéressant de voir comment Theo arrive à déchiffrer le code. Inexplicablement, avec le premier ordinateur il arrive à avoir accès aux fichiers personnels du président (dont nous ne connaissons pas le nom) du groupe d’investissement et obtient des renseignements sur son service militaire. N’oubliez pas qu’en 1988 l’Internet que nous connaissons n’existait pas. Les informations sont probablement stockées dans le serveur interne de Nakatomi et dans un dossier partagé.

Selon les renseignements du fichier, ce militaire inconnu a servi à bord d’un Akagi en 1940 (un véritable porte-avions japonais) et a participé à plusieurs opérations militaires, dont l’attaque de Pearl Harbor. Pourquoi ces informations seraient-elles conservées publiquement sur le réseau de l’entreprise ? Étrange, surtout parce que le porte-avions est aussi un indice pour le mot de passe du coffre-fort !

Ce même ordinateur traduit avec obligeance Akagi en anglais (Red Castle) et, comme par hasard, c’est le mot de passe dont ils ont besoin. Peut-être que Theo a beaucoup travaillé en amont et a eu de la chance mais, en théorie, tout ce processus a été beaucoup trop rapide. On ne sait pas vraiment comment il a pu savoir qu’il pouvait tout faire en trente minutes seulement.

Dans ce cas, il semblerait que les scénaristes aient oublié Daily Cypher, les modifications régulières et, plus intéressant encore, le second mot de passe. Le coffre-fort s’ouvre sans lui.

Ingénierie sociale

Les criminels ont parfois recours à des méthodes d’ingénierie sociale sur les vigiles, les pompiers et la police. En termes de cybersécurité, l’appel au 911 mérite une attention particulière. McClane déclenche l’alarme à incendie mais les intrus appellent par précaution les services de secours, se font passer pour les vigiles de sécurité et annulent l’alarme.

Un peu plus tard, des informations sur Nakatomi Plaza (numéros de téléphone et un code qui permet soi-disant de désactiver l’alarme incendie) apparaissent sur l’écran d’un ordinateur du 911. Si les voleurs ont pu rappeler les pompiers c’est parce qu’ils avaient dû obtenir ce code d’une quelconque façon. Les vigiles étaient déjà morts donc le code devait être écrit quelque part et conservé à proximité (à en juger par la rapidité de l’appel). Cela n’est pas vraiment recommandé en pratique.

Conclusions pratiques

  • Ne laissez pas les étrangers entrer, même la veille de Noël, surtout si le bâtiment est plein d’ordinateurs qui contiennent des informations précieuses.
  • Rappelez régulièrement à vos employés de verrouiller leurs ordinateurs. Encore mieux, programmez les systèmes pour qu’ils se verrouillent automatiquement après un laps de temps. Une très bonne idée serait de suivre une formation de sensibilisation à la cybersécurité
  • Ne partagez pas les documents qui contiennent des indices permettant de deviner le mot de passe, ou stockez-les dans des endroits différents.
  • Utilisez des mots de passe difficiles à deviner et générés par hasard pour accéder aux informations précieuses.
  • Conservez les mots de passe (et les codes de désactivation de l’alarme) dans des lieux sécurisés, pas sur un bout de papier.

Post-scriptum

Initialement, nous allions analyser les deux films de Noël de la saga mais après avoir revu 58 minutes pour vivre nous en avons conclu qu’il s’agit d’une défaillance fondamentale au sein de l’architecture de l’infrastructure informatique de l’aéroport. Les terroristes ont déterré les tuyaux des lignes qui passent sous une église à proximité et ont pris le contrôle de tous les systèmes de l’aéroport, dont la tour de contrôle. De retour en 1990, certains de ces systèmes n’auraient pas été informatisés. Malheureusement, il est impossible d’élucider ce mystère sans avoir une explication détaillée dans le film, mais tout le monde est trop occupé à mourir.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Abonnez-vous et recevez tous nos titres à la une par e-mail
  • For all other countries