L'amateurisme du hack de la banque Capital One surprend et inquiète

Si j'ai bien compris. C'est une attaque venant d'une employée.

Si c'est bien ça on peut en déduire qu'il y a un problème de politique de "besoin d'en connaître" et de "séparation des privilèges".

Je suis certains que cette banque utilisait des solutions commerciales du cloud au lieu d'utiliser son propre cloud (Le mieux est de ne pas utiliser de cloud quand c'est possible d'un point de vue logistique est d'utiliser à la place des serveurs SSH dont je vais vous expliquer plus tard dans ce message comment s'en servir au mieux d'un point de vue sécurité. Par contre je doute que mon idée d'utiliser des serveurs SSH soit applicable pour une entreprise ayant des milliers d'employés dans certaines circonstances mais ça peut se faire dans la plupart des TPE et PME).

Explications sur le principe du moindre privilège : https://fr.wikipedia.org/wiki/Principe_de_moindre_privil%C3%A8ge

Explications sur le principe du besoin d'en connaître : https://fr.wikipedia.org/wiki/Besoin_d%27en_conna%C3%AEtre

Il est incroyable de voir qu'il y a des gens faisant confiance aux infrastructures commercial de stockage dans le cloud.

Il n'est pas compliqué d'avoir son propre serveur SSH si c'est nécessaire pour stocker des infos.

Bien sûr ce n'est pas sécurisé à 100% puisque rien ne l'est mais c'est mieux que le cloud.

Avec un serveur SSH on peut mettre en place un système de sécurité que je vais décrire ci-dessous.

1.Les ordis utilisé doivent uniquement servir à se connecter au serveur SSH pour plus de sécurité dans l'idéal.

2.Les ordis pour se connecter et le serveur SSH ont un pare-feu logiciel autorisant uniquement les connexions vers le serveur SSH pour celui des postes clients et uniquement depuis les hôtes autorisé pour le serveur SSH (Filtrage Internet Protocol ou IP et MAC ou Media Access Control + éventuellement d'autres types de filtrage sans oublier d'autoriser uniquement les ports utiles ainsi que les services utiles).

3.Les postes clients et le serveur SSH ont un pare-feu matériel activé dans le modem-routeur qu'ils utilisent qui ont la même configuration que les pare-feu matériels.

Si plusieurs postes client sont connecté au même réseau local ils devront avoir une IP locale fixe et le réseau local devra accepter maximum le nombre d'utilisateur du réseau.

Par exemple si il y a quatre ordi soit quatre utilisateurs ayant accès au réseau local le modem-routeur ne pourra pas attribuer plus de 4 IP.

Mais bon l'idéal est un modem-routeur pour chaque poste client soit un réseau pour chaque poste client même ils sont situé au même endroits bien que ce soit plus cher pour plus de sécurité envers les postes clients. L'avantage supplémentaire est que chaque poste aura une IP publique différentes tandis que ce n'est pas le cas si tous les postes sont connecté au même modem-routeur que l'on appelle aussi box.

4.Chaque poste clients sera connecter à un commutateur lui même connecter à un autre commutateur connecté à un autre commutateur qui sera connecté à la box donnant accès à Internet.

Si une personne est assez intelligente pour respecter les règles qui est de se servir de son PC uniquement pour se connecter au serveur SSH et qu'elle n'essaye pas de contourner les sécurités mises en place pour faire autre choses et que des techniques sont utilisé pour empêcher l'introduction d'un programme malveillant comme le fait que chaque poste est sous surveillance en permanence et de même pour le serveur SSH , l'utilisateur n'a pas accès au compte root qui est le compte admin sur les systèmes basé sur Linux et de même pour le serveur SSH , mot de passe pour le BIOS ou UEFI inconnu de l'utilisateur ainsi que le GRUB si le poste utilise GRUB et pareil pour le serveur SSH , Pas de connexions sans fils , Les mots de passe de l'ordi et du serveur SSH sont des mots de passe dit fort parce ils sont longs et contiennent des minuscules des majuscules ainsi que des chiffres et des caractères spéciaux voir des caractères étrangers , Une procédure pour utiliser les supports amovibles tel les CD comme demander le lecteur externe à la sécurité et signer un registre puisque les lecteurs USB et autres ont était physiquement retirer de l'ordi et qu'il faut une autorisation de la sécurité à chaque fois pour mettre un port USB ainsi que le lecteur CD et de même pour le serveur SSH , Mise à jour systématiques des programmes que ce soit pour les postes clients où le serveur etc...

Il sera quasiment impossible de pirater un poste client à moins de compromettre le serveur SSH (Il faudra que le poste client télécharge un fichier infecté à son insu sur le serveur SSH) si on mets en place toutes ces protections et le fait que le poste client est connecté à un commutateur connecté à un commutateur connecté à un autre commutateur connecté au modem-routeur pour se connecter à Internet renforce la sécurité puisque un attaquant potentiel connaissant uniquement l'IP publique de la box devra réussir à pirater la box puis un commutateur , un autre commutateur et encore un commutateur puis enfin le poste client pour atteindre un poste client.

Qui se ferait chier à vous pirater à part le service de renseignement d'un État faisant de l'espionnage industriel , technologique , scientifique ou autres pour vous pirater si il y a tant de barrières.

5.Avec le poste client il faudra se connecter à son compte sur le serveur SSH directement accessible depuis Internet.

6.On est connecter à son compte sur le serveur SSH mais la seule chose que l'on peut faire est d'utiliser la commande pour changer de compte à cause des règles de sécurité.

On ne pourra pas se connecter directement à ce deuxième compte depuis Internet et le système vous obligera à vous connecter à votre premier compte pour que la connexion au second soit possible.

7.Vous êtes connecté à votre second compte. Maintenant il faut se connecter à votre troisième compte qui vous permettra de vous connecter à un autre serveur SSH qui est uniquement connecté au serveur SSH auquel vous êtes actuellement connecté.

8.Vous êtes connecté à votre troisième compte sur le premier serveur SSH accessible directement depuis Internet.

9.À partir du troisième compte sur le serveur accessible directement depuis Internet. Vous vous connectez à un autre serveur SSH qui n'est pas connecté directement à Internet puisque il est uniquement connecté au serveur SSH qui est directement accessible depuis le net.

10.Répétitions des étapes 7 et 8 pour le second serveur SSH.

11.À partir du troisième compte sur le second serveur SSH qui est connecté uniquement au premier serveur SSH.

Vous vous connectez à un troisième serveur SSH qui est uniquement connecté au second serveur SSH.

12.Répétitions des étapes 7 et 8 pour le troisième serveur SSH.

13.À partir du troisième compte sur le serveur SSH qui est uniquement connecté au second serveur SSH.

Vous pourrez faire ce que vous avez à faire qui est de télécharger des fichiers qui ont était chiffré plusieurs fois avec différents programmes et algorithmes de chiffrements.

14.Une fois que les fichiers vous intéressant ont était télécharger vous pourrez vous déconnectez de tous les serveurs et débrancher votre connectique Internet de votre ordi puis appliquer la procédure de sécurité pour obtenir un port USB et un lecteur CD/DVD et utiliser un CD ou DVD non réinscriptible pour des raisons de sécurité.

Vous vous en servirez pour copier les données téléchargées et les utiliser sur un autre ordi que celui utilisé pour utiliser les serveurs SSH.

Vous lirez les données sur un ordi qui n'est jamais connecter à un réseau informatique situé dans une cage de faraday pour éviter l'espionnage par captations des ondes électro-magnétiques qui aura d'autres protections tel le fait qu'il sera situé dans un sous-sol et que tout dans l'ordi sera blindé.

Dans l'idéal le poste utilisé pour accéder aux serveurs SSH aura aussi des protections contre la captation des ondes électro-magnétiques.

Une fois les données copié sur l'ordi qui ne se connecte jamais à un réseau informatique.

Le CD ou DVD devra être détruit. Pour envoyer des données à partir de SSH à d'autres utilisateurs il faudra faire la même chose dans l'autre inverse et donc utiliser un CD ou DVD pour copier des données de l'ordi jamais connecté à l'ordi qui se connecte à Internet etc...

Dit comme ça. Ça paraît difficile. Mais si moi qui est loin d'être un professionnel de la sécurité informatique arrive à penser à ce genre de choses. Les entreprises doivent être capable d'y penser.

J'aimerais rajouter qu'il faut que chaque serveurs SSH et que chaque postes clients utilisés ait un système d'exploitation type Linux ou BSD.

Pour complexifier le tout chaque serveur SSH peut avoir une distribution Linux ou BSD différentes.

Par exemple le premier serveur SSH sera sous Debian (Linux) , le deuxième sous Fedora (Linux) , le troisième sous TrueOS (BSD).

Soyons fous et si chaque postes clients avait un système d'exploitations différents.

Dans notre exemple il y a quatre postes et donc l'un pourrait avoir DragonFly BSD , un autre aura MINIX (Linux) , l'avant-dernier aura NetBSD et le dernier aura Ubuntu (Linux).

Pour plus de sécurité vu qu'une interface graphique est inutile pour les serveurs et que c'est inutiles pour se connecter à un serveur SSH.

Tous les postes clients et serveurs aurait uniquement une interface en ligne de commande.

Une interface en ligne de commande est suffisante pour copier des données sur un CD ou DVD.

Pour les plus paranos chaque serveurs SSH pourrait utiliser un programme différents pour mettre en place le serveur.

Le premier pourrait utiliser OpenSSH , Dropbear pour le deuxième et lsh pour le dernier.

Pour les plus paranos chaque postes clients pourrait utiliser un programme différents pour se connecter aux serveurs SSH.

Le premier poste utiliserait OpenSSH , PuTTY pour le deuxième , un client SSH interne à votre entreprise pour le troisième , lsh pour le dernier.

Pour les plus paranos vous pourrez utiliser des box d'un opérateur différents pour chaque box utilisé par les quatre différents postes et des commutateurs de différents modèles et marques.

Répondre

Faisons un procès à la banque de l'Oncle Sam et réclamons lui la modique somme de 1 milliard par donnée personnelle détournée...

Répondre

Elle a agi seule. Sa cyberattaque contre la banque Capital One était peu sophistiquée et le succès de l'opération pose nombre de questions sur la sécurité du système financier et les risques liés au stockage dématérialisé de données, le "cloud".

Pour l'heure on ne sait pas ce qui a poussé une jeune femme de 33 ans, Paige Thompson, ancienne ingénieure informatique, à pénétrer les défenses de la dixième banque des Etats-Unis et à voler certaines données personnelles de quelque 100 millions de clients aux Etats-Unis et 6 millions au Canada.

"La plus grosse surprise dans cette affaire c'est l'amateurisme de cette attaque", remarque John Dickson, de la firme de consultants en sécurité Denim.

"C'est totalement sidérant" qu'une personne seule puisse avoir accès à autant de données de l'une des plus importantes institutions financières du pays, souligne M. Dickson.

Il n'hésite à pas à dire que "cela pourrait affecter la confiance dans le système bancaire".

On semble loin dans ce cas -- selon les premiers éléments de l'enquête rendus publics par le FBI qui a arrêté la jeune femme -- des cybercrimes les plus retentissants de ces dernières années, comme ceux commis contre Equifax, Yahoo ou encore Sony et attribués par les autorités américaines à des agences d'Etats hostiles.

"La plupart de ces affaires sont le fait de hackers résidant à l'étranger (en-dehors des Etats-Unis)", souligne ainsi Darren Hayes, professeur de Sciences informatiques à Pace University, spécialisé dans la cybersécurité.

Selon les autorités, Paige Thompson a été trahie par sa vanité. Elle s'est vantée de ses exploits sur Twitter, la messagerie Slack ou même le site Github, ce qui n'est pas le plus grand signe de professionnalisme d'un criminel.

L'arrestation très rapide de Mme Thompson est, elle aussi, atypique dans une affaire de ce genre.

Pour Darren Hayes, ce cas précis met en lumière le danger représenté par des employés qui passent du côté obscur.

"C'est difficile d'attraper des gens bien qui tournent mal, et donc beaucoup de banques travaillent là-dessus" en faisant appel à des outils basés sur l'intelligence artificielle pour détecter des comportements déviants, explique le professeur.

Dans ce cas précis, Mme Thompson a réussi à voler 140.000 numéros de sécurité sociale de client américains de Capital One. C'est le plus précieux sésame aux Etats-Unis pour un grand nombre d'opérations de la vie quotidienne.

La hackeuse a aussi volé le numéro de sécurité sociale d'un million de Canadiens.

- Quel dommage -

Seule une partie des données était cryptée mais Capitol One assure n'avoir aucune indication que ces données aient été transférées ou vendues.

Pour autant, il est fort probable que les poursuites contre la banque se multiplient et que l'addition soit salée, explique M. Hayes.

Equifax, une société qui surveille et note la qualité du crédit de consommateurs américains, vient de payer 700 millions de dollars pour mettre fin à des poursuites. Elle avait laissé filer des données personnelles de 150 millions de clients.

Dylan Gilbert du groupe de défense des consommateurs Public Knowledge s'interroge: "Pourquoi les données n'étaient pas toutes chiffrées et pourquoi ce vaste ensemble n'était-il pas mis en sécurité derrière une vraie muraille de Chine ?"

Joseph Hall, responsable des technologies à l'ONG Center for Democracy & Technology, souligne les dangers d'une trop grande dépendance au "cloud", souvent cible de cyberattaques.

"Le fait qu'il y ait tellement plus de données dans le +cloud+ en fait une cible plus facile", souligne-t-il.

"Si les services de stockage dématérialisé sont mal configurés il est relativement facile pour quelqu'un qui passe par là d'en tirer profit", ajoute-t-il.

Paige Thompson a quitté en 2016 Amazon Web Services, et la branche des services de stockage dématérialisé du géant du commerce en ligne a été prompte à expliquer qu'elle n'était pour rien dans cette affaire.

"Le suspect a eu accès par le biais d'une mauvaise configuration d'une application et pas à cause de la structure sous-jacente du +cloud+", explique AWS dans un communiqué, avant d'ajouter: "ce type de vulnérabilité n'est pas spécifique au +cloud+".

Une précision qui ne surprend pas quand on sait qu'Amazon, comme Microsoft et Google construisent de véritables empires dans le +cloud+, dont les marges sont très juteuses.

© 2019 AFP

Répondre