{"id":16160,"date":"2020-12-23T15:13:16","date_gmt":"2020-12-23T15:13:16","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16160"},"modified":"2020-12-23T15:13:16","modified_gmt":"2020-12-23T15:13:16","slug":"die-hard-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/die-hard-cybersecurity\/16160\/","title":{"rendered":"Erreurs de cybers\u00e9curit\u00e9 \u00e0 Nakatomi"},"content":{"rendered":"

Beaucoup de personnes profitent des vacances pour regarder leurs films pr\u00e9f\u00e9r\u00e9s en famille et, dans la plupart des cas, comme ce sont les m\u00eames chaque ann\u00e9e, ces soir\u00e9es deviennent une tradition familiale. Certains pr\u00e9f\u00e8rent les com\u00e9dies de No\u00ebl alors que d\u2019autres optent plut\u00f4t pour des m\u00e9lodrames. Quant \u00e0 moi, mon film de No\u00ebl favori est la saga Die Hard<\/em>. Apr\u00e8s tout, 60 % des rencontres entre John McClane et les terroristes ont lieu la veille de No\u00ebl et je suis loin d\u2019\u00eatre le seul \u00e0 associer ce film d\u2019action avec les f\u00eates de fin d\u2019ann\u00e9e.<\/p>\n

Il est vrai que l\u2019intrigue de Die Hard 4 : Retour en enfer<\/em> se concentre principalement sur la cybers\u00e9curit\u00e9 d\u2019une infrastructure critique, point sur lequel nous reviendrons en temps voulu, mais si on y regarde de plus pr\u00e8s on trouve aussi de nombreux exemples de bonnes et mauvaises pratiques en cybers\u00e9curit\u00e9 dans le premier film (Pi\u00e8ge de cristal<\/em>).<\/p>\n

Apr\u00e8s tout, la Nakatomi Corporation emploie la plupart des technologies de pointe actuelle : un ordinateur central qui se synchronise avec les serveurs qui se trouvent \u00e0 Tokyo, un coffre-fort avec une serrure informatis\u00e9e et m\u00eame une borne d\u2019information tactile dans le hall. N\u2019oubliez pas que nous sommes en 1988.<\/p>\n

S\u00e9curit\u00e9 physique au Nakatomi Plaza<\/h2>\n

Les probl\u00e8mes de s\u00e9curit\u00e9 apparaissent d\u00e8s le d\u00e9but. John McClane, notre protagoniste, entre dans le b\u00e2timent et s\u2019adresse au vigile pour lui mentionner le nom de sa femme \u00e0 qui il vient rendre visite. Il n\u2019a \u00e0 aucun moment d\u00e9clin\u00e9 son identit\u00e9 ou pr\u00e9sent\u00e9 un quelconque moyen d\u2019identification. Il ne devrait pas non plus pouvoir rentrer en disant le nom de sa femme. Leur mariage est au bord du gouffre et elle utilise \u00e0 nouveau son nom de jeune fille au travail.<\/p>\n

Au lieu d\u2019interroger l\u2019intrus, le vigile n\u00e9gligent lui indique seulement o\u00f9 se trouve la borne d\u2019information puis les ascenseurs. En r\u00e9sum\u00e9, n\u2019importe qui peut entrer dans le b\u00e2timent. Tout au long du film, nous ne cessons de voir des ordinateurs non prot\u00e9g\u00e9s par un mot de passe dans tout le b\u00e2timent ; ils sont tous ouverts \u00e0 des attaques de type Evil-Maid<\/a> (femme de chambre malveillante).<\/p>\n

Acc\u00e8s aux syst\u00e8mes d\u2019ing\u00e9nierie<\/h2>\n

Peu de temps s\u2019est \u00e9coul\u00e9 avant que les criminels n\u2019entrent dans le b\u00e2timent, tuent les vigiles (il n\u2019y en a que deux la veille de No\u00ebl) et prennent le contr\u00f4le du b\u00e2timent. \u00c9videmment, un seul ordinateur contr\u00f4le tous les syst\u00e8mes d\u2019ing\u00e9nierie du Nakatomi Plaza et il se trouve dans la salle de s\u00e9curit\u00e9, juste \u00e0 c\u00f4t\u00e9 de l\u2019entr\u00e9e.<\/p>\n

Le seul pirate informatique de ce groupe de terroristes, Theo, pianote sur quelques touches et jackpot ! Le garage est bloqu\u00e9 et les ascenseurs et les escaliers m\u00e9caniques arr\u00eatent de fonctionner. L\u2019ordinateur est d\u00e9j\u00e0 en marche (m\u00eame si la pi\u00e8ce est vide) et n\u2019est pas prot\u00e9g\u00e9 contre les acc\u00e8s non autoris\u00e9s. L\u2019\u00e9cran est m\u00eame d\u00e9verrouill\u00e9 ! Il est tout simplement impensable qu\u2019un employ\u00e9 de l\u2019entreprise (qui travaille dans le d\u00e9partement de s\u00e9curit\u00e9) laisse l\u2019\u00e9cran d\u00e9verrouill\u00e9.<\/p>\n

S\u00e9curit\u00e9 du r\u00e9seau<\/h2>\n

La premi\u00e8re chose que les terroristes demandent au pr\u00e9sident de Nakatomi Trading est le mot de passe de l\u2019ordinateur central de l\u2019entreprise. Takagi, qui pense que les intrus veulent obtenir des informations, partage un d\u00e9tail int\u00e9ressant sur les pratiques de s\u00e9curit\u00e9 de l\u2019entreprise : lorsque c\u2019est le matin \u00e0 Tokyo, toutes les donn\u00e9es auxquelles les cybercriminels ont eu acc\u00e8s sont modifi\u00e9es, afin d\u2019\u00e9branler les tentatives de chantage. Nous pouvons en tirer deux conclusions :<\/p>\n

    \n
  1. Les syst\u00e8mes d\u2019informations de Nakatomi \u00e0 Tokyo savent qui a eu acc\u00e8s \u00e0 quoi et quand. Voil\u00e0 un syst\u00e8me de s\u00e9curit\u00e9 plut\u00f4t bien pens\u00e9. Il est aussi possible que ce soit du bluff.<\/li>\n
  2. De plus, il semblerait que Takagi ne sache rien des fuseaux horaires. La nuit vient juste de tomber \u00e0 Los Angeles. Les intrus sont entr\u00e9s au cr\u00e9puscule et on peut voir pendant cette conversation qu\u2019il fait nuit noire dehors. Ils disposent donc d\u2019au moins 10 h 30 avant qu\u2019il ne fasse jour \u00e0 Tokyo.<\/li>\n<\/ol>\n

    S\u00e9curit\u00e9 du poste de travail de Nakatomi<\/h2>\n

    Les gangsters expliquent qu\u2019ils ne sont pas vraiment des terroristes et qu\u2019ils veulent simplement acc\u00e9der au coffre-fort, pas aux informations. Takagi refuse de leur donner le code, leur conseille de se rendre \u00e0 Tokyo pour voir s\u2019ils ont plus de chance et meurt.<\/p>\n

    Si on laisse de c\u00f4t\u00e9 le meurtre, il y a un point particuli\u00e8rement int\u00e9ressant. Si on s\u2019attarde sur le poste de travail de Takagi, on d\u00e9couvre que son syst\u00e8me d\u2019exploitation, Nakatomi Socrates BSD 9.2 (sans aucun doute un descendant fictif de Berkeley Software Distribution<\/a>), exige deux mots de passe : Ultra-Gate Key et Daily Cypher.<\/p>\n

    Comme son nom l\u2019indique, un est fixe et l\u2019autre change tous les jours. Voil\u00e0 un brillant exemple d\u2019authentification \u00e0 deux facteurs, du moins par rapport aux normes de 1988.<\/p>\n

    Acc\u00e8s au coffre-fort<\/h2>\n

    Sept serrures prot\u00e8gent le coffre-fort. La premi\u00e8re est informatis\u00e9e, les cinq autres sont m\u00e9caniques et la derni\u00e8re est \u00e9lectromagn\u00e9tique. Si le pirate informatique Theo veut \u00eatre cr\u00e9dible, il lui faudra au moins une demi-heure pour d\u00e9chiffrer le code de la premi\u00e8re, puis entre deux heures et deux heures trente pour d\u00e9bloquer les m\u00e9caniques. La septi\u00e8me s\u2019active automatiquement \u00e0 ce moment-l\u00e0 et son circuit ne peut pas \u00eatre interrompu localement.<\/p>\n

    Si nous laissons de c\u00f4t\u00e9 cette notion hautement discutable (je suis peut-\u00eatre rouill\u00e9 en physique mais je sais que l\u2019\u00e9lectricit\u00e9 passe g\u00e9n\u00e9ralement par des c\u00e2bles que l\u2019on peut toujours couper), passons au prochain d\u00e9faut flagrant. Si le syst\u00e8me de s\u00e9curit\u00e9 du coffre-fort peut envoyer un signal pour activer une serrure, pourquoi ne peut-il pas avertir la police qu\u2019il y a une tentative d\u2019acc\u00e8s non autoris\u00e9 ? Ou au moins d\u00e9clencher une alarme ? Il est vrai que les malfaiteurs ont coup\u00e9 les lignes t\u00e9l\u00e9phoniques mais l\u2019alarme incendie arrive \u00e0 envoyer un signal au 911.<\/p>\n

    \u00c0 part \u00e7a, il est int\u00e9ressant de voir comment Theo arrive \u00e0 d\u00e9chiffrer le code. Inexplicablement, avec le premier ordinateur il arrive \u00e0 avoir acc\u00e8s aux fichiers personnels du pr\u00e9sident (dont nous ne connaissons pas le nom) du groupe d\u2019investissement et obtient des renseignements sur son service militaire. N\u2019oubliez pas qu\u2019en 1988 l\u2019Internet que nous connaissons n\u2019existait pas. Les informations sont probablement stock\u00e9es dans le serveur interne de Nakatomi et dans un dossier partag\u00e9.<\/p>\n

    Selon les renseignements du fichier, ce militaire inconnu a servi \u00e0 bord d\u2019un Akagi en 1940 (un v\u00e9ritable porte-avions japonais<\/a>) et a particip\u00e9 \u00e0 plusieurs op\u00e9rations militaires, dont l\u2019attaque de Pearl Harbor. Pourquoi ces informations seraient-elles conserv\u00e9es publiquement sur le r\u00e9seau de l\u2019entreprise ? \u00c9trange, surtout parce que le porte-avions est aussi un indice pour le mot de passe du coffre-fort !<\/p>\n

    Ce m\u00eame ordinateur traduit avec obligeance Akagi en anglais (Red Castle) et, comme par hasard, c\u2019est le mot de passe dont ils ont besoin. Peut-\u00eatre que Theo a beaucoup travaill\u00e9 en amont et a eu de la chance mais, en th\u00e9orie, tout ce processus a \u00e9t\u00e9 beaucoup trop rapide. On ne sait pas vraiment comment il a pu savoir qu\u2019il pouvait tout faire en trente minutes seulement.<\/p>\n

    Dans ce cas, il semblerait que les sc\u00e9naristes aient oubli\u00e9 Daily Cypher, les modifications r\u00e9guli\u00e8res et, plus int\u00e9ressant encore, le second mot de passe. Le coffre-fort s\u2019ouvre sans lui.<\/p>\n

    Ing\u00e9nierie sociale<\/h2>\n

    Les criminels ont parfois recours \u00e0 des m\u00e9thodes d\u2019ing\u00e9nierie sociale sur les vigiles, les pompiers et la police. En termes de cybers\u00e9curit\u00e9, l\u2019appel au 911 m\u00e9rite une attention particuli\u00e8re. McClane d\u00e9clenche l\u2019alarme \u00e0 incendie mais les intrus appellent par pr\u00e9caution les services de secours, se font passer pour les vigiles de s\u00e9curit\u00e9 et annulent l\u2019alarme.<\/p>\n

    Un peu plus tard, des informations sur Nakatomi Plaza (num\u00e9ros de t\u00e9l\u00e9phone et un code qui permet soi-disant de d\u00e9sactiver l\u2019alarme incendie) apparaissent sur l\u2019\u00e9cran d\u2019un ordinateur du 911. Si les voleurs ont pu rappeler les pompiers c\u2019est parce qu\u2019ils avaient d\u00fb obtenir ce code d\u2019une quelconque fa\u00e7on. Les vigiles \u00e9taient d\u00e9j\u00e0 morts donc le code devait \u00eatre \u00e9crit quelque part et conserv\u00e9 \u00e0 proximit\u00e9 (\u00e0 en juger par la rapidit\u00e9 de l\u2019appel). Cela n\u2019est pas vraiment recommand\u00e9 en pratique.<\/p>\n

    Conclusions pratiques<\/h2>\n