Lessons Learned from Another Big Breach

Enseignements tirés d'une nouvelle faille importante

Un entretien avec Josh Shaul, VP, Web Security Products

Commençons par le contexte concernant le problème des violations de données des internautes.

C'est un énorme problème. Plus d'un milliard de dossiers ont été volés jusqu'à présent cette année, ce qui n'est pas sans précédent. Dans les grandes attaques qui font l'actualité, par exemple chez les principaux détaillants, les pirates volent le plus souvent les noms d'utilisateur et les mots de passe. Le but ultime est de gagner de l'argent, le plus souvent en achetant frauduleusement des biens pouvant être vendus sur le marché noir. De plus, la fraude potentielle ne se pas limite pas à la société victime de l'infraction : elle touche d'autres entreprises en ligne.

Voici le déroulement : Les pirates ne volent pas les vrais mots de passe. Ils obtiennent des versions cryptographiques ou hachées, représentées par un groupe de 1 et de 0. Ils ne peuvent pas travailler en amont pour déterminer le vrai mot de passe, mais les algorithmes de hachage que les entreprises utilisent pour protéger leurs mots de passe sont bien connus. Les pirates peuvent donc deviner les mots de passe (ainsi que les informations supplémentaires qui peuvent y avoir été ajoutées avant le hachage) et les utiliser grâce au même algorithme. Parfois ils obtiennent une correspondance : le même groupe de 1 et de 0.

Ensuite, ils profitent du fait que la plupart d'entre nous réutilisent les noms d'utilisateur ou les mots de passe, ou emploient de légères variantes de ceux-ci, dans les comptes. Les pirates commencent par une multitude de noms d'utilisateur et de mots de passe. Ils vont de site Web en site Web, furtivement et de manière répartie, avec l'intention de valider les identifiants. Ils se rendent sur le site d'un grand détaillant et y trouvent une douzaine de comptes qui fonctionnent, puis sur un site bancaire et y trouvent les comptes qui fonctionnent. Ensuite, ils se rendent sur un site de e-commerce et ainsi de suite.

Ces identifiants validés sont précieux. Les véritables fraudeurs, généralement d'autres personnes, achètent les identifiants et accèdent aux comptes pour gagner de l'argent. Dans les cas les plus dommageables pour les individus, les fraudeurs accèdent non seulement aux comptes de commerce de détail, mais aussi aux comptes bancaires en ligne ou aux comptes de messagerie personnels. Les comptes de messagerie peuvent avoir une valeur inestimable car, par exemple, les mots de passe en ligne pour différents comptes peuvent généralement être réinitialisés par e-mail.

En bref, c'est un gros problème, car les pirates et les fraudeurs sont intelligents, sournois, organisés et automatisés. Les violations de données d'envergure représentent leur matière première.

Qu'est-ce qui est différent dans le piratage d'Equifax ?

Les données volées au cours du piratage d'Equifax peuvent alimenter le processus que je viens de décrire, mais elles ne sont que le début du problème. Des informations extrêmement personnelles ont été volées : pas uniquement des noms d'utilisateur et des mots de passe, mais des noms, des adresses, des dates de naissance et surtout, des numéros de sécurité sociale. Avec ce niveau d'information, les fraudeurs peuvent directement essayer de s'enregistrer pour créer de nouveaux comptes : un nouveau compte bancaire, un nouveau prêt, un nouveau service de prêt sur salaire, ainsi que de nouveaux comptes pour l'achat de biens et de services. Il est possible d'assister à une vague de vols d'identités comme nous n'en avons jamais connu.

L'infraction majeure la plus semblable est probablement celle de l'Office of Personnel Management (Bureau de la gestion du personnel américain), il y a quelques années. Des informations extrêmement personnelles sur 21,5 millions d'employés et de sous-traitants fédéraux ont été volées. Il est intéressant de noter que nous n'en savons pas beaucoup sur l'ampleur du vol d'identités qui s'ensuivit. Vous ne trouvez pas de statistiques à ce sujet, car c'est le genre de chose que les entreprises compromises ne sont pas obligées de publier. Cependant, de nombreuses personnes touchées se sont probablement inscrites pour bénéficier de services de contrôle de crédit, notamment ceux d'Equifax, pour limiter leurs risques. Beaucoup d'entre elles ont bouclé la boucle et vu leurs données volées à nouveau.

Quelles sont les implications pour les entreprises ?

Toutes les entreprises qui servent les internautes en ligne veulent protéger ces clients et éviter de prendre part, bien qu'involontairement, à des transactions frauduleuses. Ces transactions ont des coûts directs concernant les biens volés, les services et l'argent, en plus des frais administratifs pour réparer les dommages et restaurer les comptes clients. L'exposition financière est énorme.

Dans le sillage du piratage d'Equifax, les entreprises font face à un nouveau degré de problèmes de sécurité, notamment au sujet du vol d'identité. Comment protégez-vous votre entreprise et ses clients lorsque leurs informations personnelles ne sont plus privées ? En outre, comment les protégez-vous lorsque les points de données que vous avez utilisés pour valider l'identité des clients sont connus des criminels ?

Les fraudeurs peuvent écrire un logiciel qui tente d'ouvrir des millions de nouveaux comptes dans des milliers d'entreprises différentes. Si seulement un petit pourcentage de fraudeurs réussit, ceux-ci récoltent toujours beaucoup d'argent. Ils peuvent aussi essayer d'ouvrir ou de modifier des comptes à l'ancienne, en téléphonant au centre d'appel d'une société et en fournissant toutes les bonnes informations. C'est un problème plus difficile à résoudre et cela exige plus d'authentification. Cependant, c'est aussi une option beaucoup plus coûteuse pour les pirates. Toutefois, lorsque le gain semble assez élevé, ils se donneront la peine de mettre des personnes paraissant authentiques au téléphone. Combien de personnes travaillant dans l'assistance à la clientèle sont conscientes des petits signes pouvant révéler qu'elles parlent à un fraudeur ou leur a-t-on déjà même demandé de penser à cela ?

Les PDG et les CIO des entreprises fournissant des services basés sur Internet, qui peuvent accéder aux finances des gens, doivent vraiment réfléchir de façon approfondie à la façon dont ils peuvent s'assurer que les données qui ont été divulguées ne sont pas utilisées pour transformer leurs sociétés en des vecteurs pour le vol d'identité, en générant des prêts, en fournissant des allocations ou des remboursements d'impôt, ou en effectuant des ventes auprès de personnes qui ne devraient pas pouvoir y prétendre.

Que doivent faire les entreprises pour se protéger et protéger leurs clients ?

Depuis le piratage d'Equifax, toute entreprise en contact avec des clients en ligne doit être plus prudente concernant les nouveaux comptes ainsi que les changements de comptes et de mots de passe, même ceux initiés par des personnes au téléphone. Des étapes d'authentification supplémentaires peuvent être mises en place et les clients intelligents y verront plus une précaution qu'un désagrément.

La plupart des entreprises devraient s'améliorer pour reconnaître lorsqu'elles sont attaquées par des pirates essayant de deviner des noms d'utilisateur et des mots de passe. Même à petite échelle, vous pouvez les remarquer si vous savez ce que vous recherchez. Elles devraient aussi s'améliorer pour distinguer les humains des robots. L'échec de la connexion provient-il d'une mauvaise saisie humaine ou d'un possible bot ? L'entité s'enregistrant pour un nouveau compte en ligne est-elle une personne réelle ou un bot détenant les informations volées de quelqu'un ?

S'il s'agit d'un bot, se comporte-t-il correctement ? Certains bots sont souhaitables sur votre site Web. Par exemple, des clients utilisent Mint ou Yodlee comme leurs bots d'agrégation d'informations financières et leur donnent l'autorisation pour ces services, afin qu'ils accèdent à leurs comptes. Si le bot ne se comporte pas correctement, vous pouvez lui montrer rapidement la porte ou le conduire dans un labyrinthe où il se perd. Votre personnel de sécurité peut alors diagnostiquer ce qu'il prépare.

Plus fondamentalement, de nombreuses entreprises ont besoin d'une couche supplémentaire de sécurité qui enveloppe leurs environnements en ligne. Ce wrapper n'a pas besoin de connaître tous vos actifs. Il doit être méticuleux pour examiner qui se rend à votre adresse et reconnaître les menaces les plus récentes.

Ce n'est pas la partie de l'histoire la plus connue, mais elle est extrêmement importante. La société Equifax a déclaré publiquement qu'elle avait trouvé une vulnérabilité dans ses systèmes. Elle pensait avoir corrigé tous les systèmes comportant cette faille, mais elle en a oublié un. Il n'en a pas fallu plus. Les pirates l'ont trouvé et exploité.

La leçon à tirer est que, même lorsque vous êtes consciencieux, en identifiant les systèmes vulnérables et en les réparant aussi rapidement que possible, vous pouvez toujours oublier quelque chose. Il existe toujours un potentiel d'erreur. Il peut y avoir des systèmes vulnérables sur votre réseau qui ne se trouvent pas dans votre inventaire, que vous ne connaissez même pas. De plus, l'installation de correctifs n'est pas instantanée : cela peut prendre quelques minutes voire plusieurs jours pour déployer le logiciel. Les pirates sont attentifs aux dernières vulnérabilités et peuvent les exploiter alors que vous êtes encore en train de les corriger.

Dans tous ces cas, une deuxième couche de sécurité fournit une assurance supplémentaire : si vous avez oublié quelque chose, vous avez encore une certaine protection. Equifax croyait, à tort, avoir corrigé le problème.

Quels autres types d'entreprises sont probablement des cibles d'attaques de violation de données client ?

Tout d'abord, aucune entreprise n'est à l'abri des cyberattaques. Ainsi, chaque entité ayant des activités en ligne et stockant des données client est vulnérable. Les cybercriminels aiment se rendre là où se trouvent beaucoup de données potentiellement précieuses. Cela signifie les agences de crédit, les grandes sociétés de cartes de crédit et maintenant des entreprises comme LifeLock, la société de protection contre le vol d'identité qui a fait beaucoup de publicité et accueilli de nouveaux clients suite à de récentes violations. Equifax a été piratée, mais l'on espère que ces entreprises ont une sécurité de « niveau militaire » en place.

Les cybercriminels, comme les voleurs de banque, voudraient aussi se rendre là où se trouve l'argent, mais les principales institutions financières investissent énormément pour conserver cette sécurité de niveau militaire. Elles protègent leurs actifs, leurs opérations, ainsi que leurs clients professionnels et individuels de haute importance. La clientèle des particuliers régulière bénéficie du niveau de sécurité en place.

Les entreprises comme les grands détaillants qui ont beaucoup de données client, mais pas les marges bénéficiaires et le financement (ou peut-être pas encore la motivation) pour superposer des couches de protection, sont plus vulnérables. Il existe un décalage entre la valeur des données à protéger et la sécurité qu'elles peuvent s'offrir. Ces entreprises devraient réévaluer leurs dispositifs et stratégies de sécurité à la lumière du piratage d'Equifax et de la quantité de données client déjà compromises.

Du côté du gouvernement, l'IRS (Internal Revenue Service, les autorités fiscales américaines) est probablement la plus grande cible. L'organisme détient les informations de tout un chacun et il a quasiment tous les éléments d'information qu'un fraudeur pourrait rechercher. Il dispose évidemment d'une sécurité renforcée, à la fois pour la protection des données et pour détecter le vol d'identité. Cependant, il n'a pas été parfait. Les organismes qui dispensent des indemnités, comme Medicare (système d'assurance-santé américain), semblent être meilleurs dans la protection des données que dans la prévention de la fraude, mais leur défi est compliqué, car les demandes frauduleuses prennent de nombreuses formes.

La santé est un secteur qui se trouve dans une position délicate. Les organismes prestataires et les plateformes de fournisseurs possèdent une énorme quantité d'informations personnelles, en plus d'informations cliniques, dans leurs dossiers de santé électroniques. Ils subissent une grande pression de la part de l'HIPAA (loi américaine sur l'assurance maladie) pour protéger les données personnelles des patients. Cependant, ils expérimentent aussi de fortes tensions entre les dépenses cliniques et les autres. Les médecins et les organismes prestataires sont axés sur les résultats des patients. Ils préfèrent donc dépenser dans la technologie clinique plutôt que dans celle de l'information ou de la sécurité. J'ai eu une conversation intéressante avec le CIO d'un grand centre médical, qui confie : « Ma hantise est que quelqu'un se rende à mon hôpital malade, reparte en bonne santé, mais que sa situation s'aggrave suite à sa venue ici, en raison d'un problème survenu à ses données ».

Vous avez parlé de cybercriminalité comme s'il s'agissait d'un marché.

C'est exactement cela. Il s'agit d'un grand marché avec différents modèles commerciaux. Certains cybercrimes, notamment de nombreuses attaques commanditées par des États, reviennent à de l'espionnage industriel. Les pirates cherchent à voler les données techniques, les secrets commerciaux ou d'autres renseignements exclusifs des sociétés et des organismes gouvernementaux. Des attaques très différentes visent à perturber les opérations commerciales en mettant en panne des serveurs, des réseaux et des sites Web. Celles-ci sont souvent le travail de « hacktivistes » ou d'utilisateurs mécontents.

Le cybercrime que nous évoquons aujourd'hui, qui commence par le vol de données concernant de nombreux internautes individuels, vise probablement exclusivement à gagner de l'argent. Le dommage causé aux opérations commerciales et à la réputation des sociétés compromises est un sous-produit. Cette branche du secteur de la cybercriminalité possède ses propres marchés et sa chaîne logistique :
  • Les pirates trouvent et exploitent des vulnérabilités dans des systèmes d'entreprise pour voler et vendre de grandes quantités de données concernant des personnes.
  • Des intermédiaires achètent les données en gros et mettent des gens et des logiciels au travail pour tester et valider des identifiants d'internautes ou pour compléter les données requises pour le vol d'identité. Ils trient essentiellement les données et leur ajoutent de la valeur.
  • Des fraudeurs spécialisés achètent ces données validées et les monétisent par le biais de divers canaux de vol de détail, de fraude financière ou de prestations gouvernementales et de fraude fiscale.
La chaîne logistique est soutenue par un écosystème entier, comprenant des développeurs de logiciels créant des outils de travail et une main-d'œuvre de pirates contractuels. Il existe des services pour transformer les données volées en argent, les biens volés en argent et pour dissimuler l'activité de piratage. Cet écosystème a une devise de choix : le bitcoin.

Notez également que la cybercriminalité est en activité 24 h/24 et 7 j/7. Les pirates sont constamment au travail, mais suivent deux cadences. Ils ciblent des entreprises spécifiques et tentent d'exploiter les failles récemment découvertes avant qu'elles ne puissent être corrigées. Les pirates sont des pêcheurs à la recherche de gros poissons. Toutefois, ils travaillent aussi constamment en arrière-plan, jetant un large filet et attendant patiemment la venue d'un quelconque poisson à la surface, notamment de vieilles vulnérabilités corrigées de façon incomplète.

Cela est peut-être le point le plus important pour les PDG, CIO, responsables de la sécurité (CSO) et dirigeants d'entreprise en général, suite au piratage d'Equifax : connaissez votre ennemi. Vous ne traitez pas avec des pirates isolés, mais avec des cybercriminels bien organisés et bien informés. Leur activité est d'escroquer les personnes et les entreprises qui les servent. Leur secteur est en pleine croissance. Ne sous-estimez pas leur capacité, leur ingéniosité ou leur imagination concernant les lieux et les moments où voler des données précieuses ainsi que les manières de le faire.

Related CIO Content