N'avez-vous jamais accueilli un visiteur en vos locaux et l'avez laissé seul quelques instants dans votre bureau pour, par exemple, allez lui chercher un café ? Une solitude fugace, qu'une personne malintentionnée pourrait mettre à profit pour, par exemple, placer un "implant miniature" dans l'un des objets de votre bureau. Un Raspberry Pi, nano-ordinateur de la taille d'une carte de crédit, qui coûte une poignée d'euros, peut très bien faire l'affaire. "Il faut que le hacker soit rapide et discret. L'idéal est de placer l'implant dans un objet de la vie quotidienne comme une multiprise, un téléphone, un bureau, sans pour autant que la fonction première de l'objet soit altérée", explique Renaud Feil, co-fondateur et dirigeant de Synacktiv, une société spécialisée dans les intrusions, certifiée par l'ANSSI.
Encore appelé "boitier Houdini", le Raspberry Pi est un vrai ordinateur, avec des entrées et des sorties. Ainsi, "pour entrer et sortir, on peut brancher une carte 3G ou 4G, ou profiter d'un réseau et d'un protocole existant au sein de l'entreprise (WiFi, https...). La question n'est pas de savoir si on va pouvoir entrer sur le réseau mais à quel moment", poursuit Renaud Feil. Et de s'activer en faisant la démonstration de ce qu'il avance en se connectant sur un switch et en cherchant à contourner la protection 802.1x en place. Branché entre un PC et le réseau, le boitier Houdini va profiter de la connexion d'un autre PC, autorisé celui-ci, pour pénétrer sur le réseau. "On appelle cela un système intermédiaire ou 'man in the middle'. Et son adresse IP est exactement la même que celle du PC qui a servi d'entrée".
Sans verser dans la paranoïa, un tel scénario est tout à fait plausible, d'autant qu'on évalue à 20 % environ le ratio des unités qui ne sont pas visibles par le système. La raison en est simple : pour être visible par la plupart des outils, une unité doit être porteuse d'un agent. Pas d'agent, pas de visibilité. "Sur les réseaux de nos clients, nous avons découvert des unités improbables, comme par exemple des B-Box", raconte Julien Tarnowski, directeur régional France et Luxembourg de la société Forescout, un éditeur spécialisé dans la sécurité de l'entreprise.
Une plus grande surface
Autre notion d'importance, celle de surface d'attaque. Cyril Bertschy, co-fondateur et dirigeant de Bispok, société d'experts spécialisée sur le WiFi et le NAC (Network Access Control), explique qu'avec la multiplication des objets connectés, ce sont autant de portes d'entrées sur le réseau supplémentaires. Il cite l'exemple d'Aston Martin, qui souhaite connecter toutes ses usines d'ici 2021 en WiFi. En posant la question simple "avez-vous évalué votre surface d'attaque ?" il a quelque peu plombé l'ambiance car en effet, les équipes informatiques internes ne l'avaient pas fait.
Schéma 1 (cliquez pour agrandir)
Le schéma 1 illustre bien cette notion de surface d'attaque : de quelques milliers d'unités on est passé à des dizaines de milliers puis à des millions et des dizaines de millions. "Les machines commencent aujourd'hui à être beaucoup moins contrôlées, le nombre des points d'entrée se multiplie, ce qui devient le cauchemar des DSI et des RSSI", constate Cyril Bertschy. "Et le WiFi devient presque secondaire". Et de conclure : "les 'gentils' doivent tout défendre, les 'méchants' n'ont qu'à trouver un moyen d'entrer".
Mieux voir
Pour Julien Tarnowski, "on ne peut pas sécuriser, ce que l'on ne voit pas". Et de se targuer de voir, avec l'outil logiciel qu'il propose, des unités que les autres ne voient pas, grâce notamment à l'utilisation d'empreintes digitales numériques.
Société américaine cotée au NASDAQ comptant quelque 900 collaborateurs et créée en 2000, Forescout a déployé Counteract, sa solution phare de sécurisation du réseau interne de l'entreprise, câblé ou sans fil, dans 80 pays. Agnostique par rapport à l'infrastructure de l'entreprise utilisatrice, celle-ci repose sur une recherche de visibilité d'unités qui, dans les réseaux actuels, n'ont de cesse de se connecter et de se déconnecter et sont de plus en plus diversifiées. Ces équipements sont en outre bien souvent placés sous la responsabilité de personnes qui n'ont pas forcément ni le réflexe sécurité, ni les compétences nécessaires pour les contrôler. On pense par exemple au contrôle d'accès, généralement confié aux services généraux.
Pour expliquer que son outil voie ce que les autres produits de sécurisation ne voient pas, Julien Tarnowski relève que ce qui caractérise surtout les objets connectés, qui vont de la douchette aux capteurs IoT en passant par les équipements industriels ou les caméras de vidéosurveillance, outre leur extrême diversité, c'est qu'il est impossible d'installer un agent sur chacun d'eux afin de le tracer. Et de fait, l'outil qu'il propose n'utilise pas d'agents – il est "agentless" – mais collecte les informations émanant de l'infrastructure et fait de la corrélation avec le système via une empreinte digitale numérique, puis du contrôle. Une empreinte digitale numérique est un marqueur de l'unité qui se base sur une trentaine de critères, à commencer par son adresse MAC (dont le début identifie le fabricant), mais aussi les ports ouverts (car n'oublions pas qu'il est possible d'usurper une adresse MAC), la carte graphique etc. "En général, le système, identifie automatiquement environ 95 % des objets connectés. Pour les 5 % restants, il faut aller voir physiquement de quoi il s'agit", précise Julien Tarnowski. L'outil se base aussi sur la notion de trafic "normal", c'est-à-dire le trafic qu'on attend d'une unité du type déclaré. Si par exemple une imprimante ou une douchette échangent des flux de données qui n'ont rien à voir avec ceux attendus de ce type d'équipement, le logiciel détecte un problème.
Julien Tarnowski, directeur régional France et Luxembourg, Forescout
Les empreintes digitales numériques sont recensées dans une base de données mise à jour au fil de l'eau via notamment les apports des 3 000 clients de Forescout et partagée avec l'ensemble de la communauté des clients. Ainsi, "lorsque l'Institut Pasteur, par exemple, qui compte plus d'objets médicaux connectés que d'autres objets, veut se maintenir à jour sur les productions d'équipements de Siemens ou de GE afin de pouvoir les reconnaître, il consulte notre base de données", ajoute Julien Tarnowski. Si les solutions "agentless" sont rares sur le marché, notons toutefois que celle de Forescout n'est pas la seule. En 2006 déjà, la société israélienne Promisec lançait une solution sans agent et avec le développement du cloud elle a été suivie par nombre de ses concurrents.
À noter aussi qu'en novembre dernier Forescout a ajouté une corde à son arc (et avec cela un second produit, SilentDefence) en rachetant un spécialiste du domaine de la protection des réseaux de technologie opérationnelle (OT) : SecurityMatters. Cette acquisition, d'environ 113 millions de dollars, vient renforcer la position de Forescout en tant qu'expert de la visibilité et du contrôle des périphériques sans agent dans l'entreprise étendue.
Benoît Herr