Dans ce premier chapitre, nous allons voir comment on peut se protéger d’une attaque externe, c’est-à-dire d’une attaque effectuée par une personne qui est en dehors du système.
Les risques des systèmes d'information
Commençons par identifier les risques liés aux systèmes d’information.
Qu’est-ce qu’un système d’information ?
On parle de système d’information, ou SI, pour désigner un ou plusieurs logiciels utilisés pour gérer des données. En général, ce sont des données d’une entreprise, d’une administration, etc.
Le système d’information ci-dessus concerne une entreprise de vente. Il est composé de trois éléments :
des informations autour des ressources humaines et de la paie ;
des informations autour des clients ;
des informations pour des fournisseurs.
Plus précisément, nous nous intéressons au SGBD : système de gestion de base de données. C'est une brique centrale de ce système d’information.
Exemples de systèmes d'information
Il y a de nombreux SI qui contiennent des données sensibles :
les SI nationaux comme les impôts, les fichiers de police, les dossiers médicaux partagés, etc. ;
les SI d’entreprises, de banques ou encore d'assurances ;
les bases de données personnelles constituées par les individus eux-mêmes (Drive, Dropbox) sur lesquelles ils vont stocker des factures, des fichiers personnels ;
les bases de données "ambiantes" générées à partir de capteurs. Cela peut être une base de données qui stocke les passages au niveau tourniquet comme le Pass Navigo, ou bien une base de données de téléphone mobile qui stocke les appels passés à partir de certaines antennes, ou encore une base de données de télésurveillance utilisant des capteurs à l’intérieur d’une maison, pour retransmettre ou stocker des informations à propos des personnes qui sont entrées dans la maison.
Attaques et défenses d'un système d'information
Intéressons-nous maintenant aux attaques qui peuvent être menées contre les SI, et aux défenses que nous pouvons mettre en place.
Un SI contient des données structurées ayant une forte valeur ajoutée. Très souvent, de gros volumes de données sont stockés dans un SI.
Les vols de données
En regardant plus précisément les vols de données, nous voyons que, depuis ces dernières années, nous avons affaire à des chiffres astronomiques. En 2015, il y avait à peu près 3 000 brèches de données, c’est-à-dire des pertes de données ou des intrusions dans des SI qui ont exposé près de 736 millions d’enregistrements constituant des données personnelles.
Quelles attaques ?
Les attaques sont de plusieurs sortes.
La première attaque vient d'une vulnérabilité logicielle, donc une vulnérabilité du SGBD lui-même, permettant une intrusion car le logiciel a été mal programmé, mal conçu en termes de sécurité.
Le même type d’attaque peut exister au niveau du système d’exploitation, par exemple Windows. Ainsi, le système d'exploitation peut avoir une faille de sécurité permettant à des utilisateurs non autorisés de lancer certains programmes ou d’observer le contenu de la mémoire, et donc de dérober des informations.
La méthode du vol de mot de passe est très prisée actuellement. Il s’agit d’essayer de récupérer le mot de passe d’un utilisateur, ou même de l’administrateur de la base de données, par diverses techniques. La principale utilisée est le "phishing" : on vous envoie un faux e-mail, en espérant que vous allez cliquer sur un site web et rentrer votre mot de passe.
Il y a de nombreuses autres attaques comme celles des États eux-mêmes. Avec le scandale "Prism" par exemple, nous avons su que la NSA cherchait à s’introduire dans la plupart des bases de données du monde entier pour observer ce qu’il s’y produisait.
Quelles défenses ?
Quelles défenses pouvons-nous mettre en œuvre pour contrer toutes ces attaques ? Nous allons voir qu’il existe plusieurs niveaux de défense. Nous en détaillerons certains dans le prochain chapitre.
La première défense que nous pouvons mettre en place est l’authentification. Il s'agit de s’assurer que la personne qui se connecte est bien la personne qu'elle prétend être.
Le deuxième point concerne la protection des communications. En général, nous nous connectons sur un poste client (ordinateur personnel, téléphone portable, etc.) et nous communiquons avec un serveur sur lequel sont stockées les informations que nous souhaitons interroger ou exploiter. Il s’agit donc de protéger les communications entre le poste utilisateur et le serveur. Sur le web, une technologie est utilisée pour ça : "HTTPS". Elle permet de chiffrer de bout en bout les communications, c’est-à-dire que, si quelqu’un observe simplement les données transitant entre l’ordinateur et le serveur, il lui est impossible de recueillir quoi que soit d’intéressant, puisque les informations sont chiffrées.
Le troisième aspect est le contrôle d’accès ; il concerne les autorisations. Une fois que nous sommes connectés sur le serveur, que nous sommes un utilisateur bien identifié, nous avons uniquement le droit de lire ou d’écrire un certain nombre d’informations spécifiques. Une fois qu’ils sont connectés sur le serveur, l'accès des individus est donc limité. Cette protection permet de limiter l’impact d’un vol de mot de passe par exemple : si je perds mon mot de passe, l’attaquant ne pourra récupérer qu’un ensemble de données limitées.
La quatrième protection est le chiffrement des données : elle permet de protéger physiquement le serveur. Dans le cas où une personne s’introduirait et volerait le disque dur, elle ne réussirait pas à lire les informations contenues dedans.
La cinquième mesure, l’audit, est moins une mesure de prévention qu’une mesure de dissuasion. Ici, le système va prendre des "logs" et va continuer à écrire tout ce qu’il se passe lors de son exécution. Ainsi, nous allons pouvoir voir l’ensemble des requêtes posées et l’ensemble des données modifiées. Nous allons également pouvoir savoir qui a posé ces requêtes et qui a fait ces modifications. Après une intrusion, ces "logs" vont être très utiles pour analyser exactement ce qu’il s’est passé et, éventuellement, définir les données qui ont été volées.
Le sixième aspect est le contrôle d’usage. À l’heure actuelle, il appartient encore beaucoup au domaine de la recherche. Cette défense permet de s’assurer qu'un bon usage des informations est fait. Ici, nous parlons des informations contenues à l’intérieur du système, mais également de celles qui sont sorties du système.
Le septième point cherche aussi à limiter l’impact d’une brèche de données : c'est la rétention limitée des données ou la collecte limitée des données. Il s’agit de stocker le moins de données possible à l’intérieur du SGBD. Évidemment, moins nous stockons de données, moins nous risquons de nous les faire voler. Souvent, nous assistons à une surcollecte d’informations ou à une collecte d’informations qui ne sont pas utiles pour le métier utilisant le SGBD. Alors, ces informations sont simplement disponibles pour être volées. C'est pourquoi, lorsque vous concevez une application qui va gérer des données personnelles, demandez-vous si vous avez véritablement besoin de cette donnée pour atteindre la finalité que vous vous êtes fixée. Si ce n’est pas le cas, il ne faut pas stocker cette donnée.
La huitième technique est l’anonymisation de données. Comment faire pour transformer les données brutes en données anonymes qui ne seront plus dangereuses si jamais elles sont dérobées ? Nous en discuterons en détails dans la quatrième partie.
Enfin, l’ensemble de ces mesures sont regroupées à l’intérieur de législations qui cherchent à dissuader, à décourager les attaquants parce que ce sont des choses illégales. Si jamais un attaquant se fait prendre, il risque des amendes et des peines de prison.
