Un orateur hors du commun s’est présenté cette semaine à l’occasion de la conférence de sécurité informatique Enigma, qui s’est déroulée du 25 au 27 janvier à San Francisco. A savoir Rob Joyce, le patron de Tailored Access Operations (TAO), la troupe de hackers d’élite de la NSA, dont on connaît l’existence grâce aux révélations d’Edward Snowden.
Devant un public composé d’experts en sécurité, l’homme a voulu leur donner de bons conseils pour protéger leurs réseaux face aux hackers gouvernementaux, c’est-à-dire précisément des gens comme lui (voir vidéo ci-dessous). « Nous faisons du hacking d’Etat. Et je vais vous dire en tant que hacker d’Etat ce qu’il faut faire pour me rendre la vie plus difficile », explique Rob Joyce.
Selon lui, la première chose à faire, c’est déjà de très bien connaître son réseau, ses appareils et les technologies sous-jacentes. « Pourquoi avons-nous tellement de succès ? Parce que nous investissons beaucoup de temps pour connaître un réseau mieux que ceux qui l’ont mis en œuvre ou qui le gèrent », ajoute-t-il, en toute modestie, avant de rentrer dans les détails d’une attaque ciblée, phase par phase.
La première chose à faire pour se protéger est déjà de réduire la surface d’attaque au minimum en désactivant et désinstallant tout ce qui n’est pas nécessaire. Puis, pour évaluer la sécurité d’un système, il n’y a pas 36 moyens : il faut faire des tests de vulnérabilité. « Faites venir des pentesters et trouvez les failles. Puis agissez en conséquence. Même après avoir été découvertes, il n’est pas rare que des vulnérabilités restent en place pendant des années. Nous le voyons sur nos cibles », poursuit le patron du TAO. Et surtout, il ne faut négliger aucune faille, aussi petite soit-elle. « Les hackers d’Etat sont patients et minutieux. Ils attendront jusqu’à ce qu’ils trouvent une opportunité », souligne-t-il.
Selon lui, la plupart des attaques réalisées par des hackers d’Etat n’utilisent d’ailleurs pas de failles 0day, contrairement à ce que l’on pourrait penser. « Pour les grands réseaux d’entreprises, si vous êtes persistant et focalisé, vous n’en avez pas besoin. Il y a tellement d’autres moyens qui sont plus faciles, moins risqués et plus productifs », ajoute-t-il. Les trois principaux vecteurs d’attaques sont – sans surprise – l’e-mail, les sites web et les clés USB.
Mention spéciale pour les services de réputation
Parmi les autres bons conseils de M. Joyce, rien de bien extravagant pour quelqu’un qui travaille dans la sécurité informatique : il faut segmenter les réseaux, limiter les privilèges d’accès, instaurer des listes blanches, mettre à jour ses systèmes, activer l’authentification à double facteur, etc. Il a mis, en particulier, l’accent sur les services dits de réputation capable d’évaluer le niveau de confiance d’un nom de domaine ou d’un code informatique. « Si votre prestataire de réputation vous indique que vous êtes en train d’utiliser un code qui n’a jamais été exécuté auparavant sauf par vous, c’est le moment d’avoir peur », lance-t-il avec un grand sourire. C’est sûr, c’est une situation qu’il connait bien. Mais de l’autre côté.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.