vérité
Nous ne nous lasserons jamais de le répéter mais les contes sont des rapports implicites de sécurité de l’information. Les auteurs européens ne sont pas les seuls à avoir essayé d’avertir leurs descendants quant aux dangers que représentent les cybermenaces. Les habitants de l’Est ont aussi fait preuve de prescience. Par exemple, Shéhérazade, la protagoniste du célèbre conte des Mille et Une Nuits, conservait ce que l’on pourrait décrire comme un blog quotidien de sécurité de l’information avec des podcasts vidéo. Il est vrai qu’elle avait des intentions cachées…
… mais aujourd’hui nous nous intéressons à certaines histoires qui ont été publiées sur le blog de Shéhérazade beaucoup plus tard, au XVIIIe siècle : l’incident connu comme Ali Baba et les Quarante Voleurs. Il est fort probable que même ceux qui ne connaissent pas l’histoire aient déjà entendu la phrase magique « Sésame, ouvre-toi ! ».
Toute l’intrigue tourne autour de cette idée qui consiste à utiliser un mot de passe pour se protéger des accès non autorisés. Cela est loin d’être le seul conseil en matière de sécurité de l’information que l’on trouve dans ce conte. Il s’agit tout simplement du plus évident.
Canal non sécurisé pour transmettre le mot de passe
Petit rappel : un groupe de voleurs cache son butin dans une grotte qui ne s’ouvre qu’en utilisant le mot de passe d’accès « Sésame, ouvre-toi ! ». Ce mécanisme de protection contient un certain nombre d’erreurs graves.
Au tout début du conte, le chef des voleurs attend à l’entrée et crie : « Sésame, ouvre-toi ! ». Plusieurs problèmes sautent aux yeux. Tout d’abord, le mot de passe est beaucoup trop simple. Ensuite, il n’y a pas d’authentification à deux facteurs ni de nom d’utilisateur !
Pire encore, le mot de passe transite par un canal ouvert. Ali Baba, qui ramasse du bois à proximité, entend par hasard ce que dit le voleur. Ce n’est que par simple curiosité, et sans aucune mauvaise intention, qu’il essaie ensuite de prononcer le mot de passe. Pourtant, lorsque la grotte s’ouvre, il entre et s’approprie quelques trésors.
Module spyware
De retour chez lui, Ali Baba donne les pièces d’or à sa femme pour qu’elle les compte. Elle essaie de le faire à la main mais il y en a tellement qu’elle s’y perd et décide plutôt de demander à sa belle-sœur, la femme de Kassim, frère d’Ali Baba, de lui prêter un instrument de mesure.
Il s’agissait, suivant les différentes traductions, d’une balance de cuisine ou bien d’un pot quelconque, mais ce n’est qu’un détail. Le point important est que la femme de Kassim a étrangement enduit le dessous de l’instrument d’une légère couche de miel (ou de suif suivant les traductions) pour savoir pourquoi sa parente en avait soudainement besoin. Lorsque cette dernière lui rend l’appareil, surprise, une pièce d’or est collée, ce qui signifie que sa belle-sœur a utilisé l’instrument pour compter de l’or !
Même quelqu’un qui ne s’y connaît pas en informatique comprend immédiatement que l’auteur décrit le module d’un spyware (logiciel espion) intégré dans un produit légitime. La femme de Kassim fournit un dispositif (suivant le modèle de mesure à la demande) et espionne l’activité du client. La morale de l’histoire est la suivante : utilisez seulement les outils de sources fiables et vérifiez qu’ils ne contiennent pas de vulnérabilités ou d’implants malveillants.
Mots de passe oubliés
Ce qui se passe ensuite me semble un peu tiré par les cheveux. Ali Baba avoue tout à Kassim et lui donne le mot de passe. Ce dernier entre dans la grotte mais, une fois dedans, oublie le mot de passe (également nécessaire pour sortir), est pris au piège et les voleurs lui coupent la tête après l’avoir trouvé à l’intérieur. Le message est clair : gardez votre sang-froid lorsqu’il s’agit d’un mot de passe oublié, ou quelque chose du genre.
Je pense qu’à cette époque, cette partie de l’histoire contenait un placement de produit pour un ancien gestionnaire de mots de passe que les Sassanides experts en technologie utilisaient, mais le message a été supprimé à force de raconter l’histoire. Pour compenser, nous allons ajouter le nôtre, Kaspersky Password Manager, qui vous permet de conserver vos mots de passe et autres informations confidentielles en lieu sûr.
Mot de passe inchangé
Revenons-en au conte. Après que Kassim ne soit pas rentré chez lui, ses proches partent à sa recherche. Ali Baba va à la grotte, trouve le corps de son frère et le prend pour l’enterrer.
Ce processus décrit au lecteur une politique de mot de passe pitoyable : les voleurs n’ont pas modifié le mot de passe après l’incident. On ne sait pas vraiment pourquoi. Il s’agit peut-être d’une simple négligence ou de la mauvaise conception initiale de l’architecture du système d’authentification.
D’autre part, il est possible qu’ils n’aient pas les droits d’accès administrateur. S’ils ont piraté la grotte (ce sont des voleurs après tout) il est fort probable qu’ils n’aient que le mot de passe utilisateur. Le vrai propriétaire aurait pris le problème des identifiants d’accès administrateur au sérieux.
Attaque via un contractuel
Comme Ali Baba veut garder cette histoire secrète, il ne peut pas enterrer un corps dont la tête a été tranchée. Lui, la veuve de son frère et sa servante, Morgiane, font tout ce qu’ils peuvent pour occulter ce qui se passe. Morgiane va voir plusieurs fois un apothicaire pour faire croire que Kassim est de plus en plus malade et ainsi dire qu’il est décédé d’une mort naturelle.
En attendant, elle demande à un cordonnier de venir à la maison pour recoudre le corps de Kassim. Pour que celui-ci ne puisse pas savoir où il se trouve, elle lui bande les yeux et fait plusieurs détours le long du trajet.
Les voleurs, après s’être rendu compte que des informations avaient été divulguées, se rapprochent du cordonnier. Ils lui promettent de l’or, lui bandent les yeux et l’obligent à faire le trajet jusqu’à la maison.
Cet exemple montre que même si vous utilisez un canal chiffré et sécurisé pour travailler avec le contractuel, des intrus peuvent tout de même obtenir certaines informations sensibles. Peut-être que Morgiane aurait dû demander au cordonnier de signer un accord de confidentialité.
Honeynet
Un des membres du gang laisse une marque sur la porte de la maison de Kassim, où vit désormais Ali Baba, afin d’y retourner avec les autres une fois la nuit tombée et de tuer ses occupants. Cela était sans compter que Morgiane, particulièrement maligne, allait détecter le signe et le reproduire sur toutes les portes de la rue. Voilà comment elle a contrecarré l’attaque.
Morgiane convertit la rue en un genre de réseau de honeypots et de pièges pour cybercriminels. En théorie, cette méthode fonctionne de la façon suivante : les intrus dans le réseau confondent l’honeypot avec la cible, commencent à l’attaquer et révèlent leurs intentions et les méthodes utilisées. Avant qu’ils ne se rendent compte de leur erreur, les experts d’une unité gouvernementale spécialisée en cyber-réponse interviennent et arrêtent l’attaque.
Il ne nous reste plus qu’à nous demander à quel point est-il éthique d’utiliser les foyers d’innocents utilisateurs comme honeypots. Quoi qu’il en soit, aucun préjudice n’en découle. Les voleurs s’en rendent compte à temps et annulent l’attaque.
Conteneurisation
Le chef des voleurs décide de s’occuper personnellement de l’attaque. Il achète 40 grandes jarres (serait-ce une référence à JAR, le format de fichier Java Archive ?), en remplit deux avec de l’huile et laisse les autres vides. Les jarres qui contiennent de l’huile servent à tromper une éventuelle analyse superficielle. Les voleurs se cachent dans les jarres vides.
C’est fort de ce chargement qu’il se rend à la maison d’Ali Baba. Le plan du chef, déguisé en marchand d’huile, consiste à se faire inviter à entrer dans la maison pour laisser entrer les voleurs plus tard, lorsque tout le monde serait endormi.
De façon générale, nous avons ici la description d’une attaque de l’infrastructure en cachant un malware dans des conteneurs. Les contrôles à l’entrée ne vérifient pas la contenance des jarres ce qui permet à la menace de franchir le périmètre de sécurité. Une fois à l’intérieur, le chef peut activer le malware.
Encore une fois, Morgiane vole à la rescousse en entendant un des voleurs qui étaient dans les jarres. Elle vérifie chaque conteneur, détermine là où se trouvent les voleurs, versent de l’huile bouillante et élimine la menace. En d’autres termes, même à cette époque elle disposait d’un outil pour analyser l’intérieur des conteneurs. Notre solution Kaspersky Hybrid Cloud Security est équipée de la même technologie, sauf que nous sommes 1 500 ans plus tard.
Finalement, la justice l’emporte. Le chef des voleurs est tué. Morgiane épouse le fils d’Ali Baba (qui sort de nulle part à la fin du conte) et Ali Baba est le seul à connaître le mot de passe qui permet d’accéder à la grotte.
Morale de l’histoire
- N’oubliez pas de prendre en compte la sécurité lorsque vous concevez un système d’authentification. Vous recherchez les ennuis si vous utilisez un canal non chiffré et aucune authentification multifactorielle pour transmettre un mot de passe codé en dur.
- Choisissez minutieusement vos fournisseurs et contractuels. Vérifiez, dans la mesure du possible, que leurs outils et leurs services ne contiennent pas de vulnérabilités ou d’implants malveillants, et n’oubliez pas de demander à toutes les parties de signer un accord de confidentialité (NDA).
- Utilisez une solution de sécurité qui analyse le contenu des conteneurs lorsqu’ils sont téléchargés afin d’empêcher les codes malveillants de s’introduire dans votre projet à partir d’archives corrompues.
Conseils