Septembre 2017: Brèches de sécurité

Septembre 2017 a été un mois intéressant pour plusieurs brèches importantes de sécurité. Nous avons tous appris la valeur de nos informations personnelles. À partir de maintenant, je vais publier un billet mensuel au sujet des brèches importantes de sécurité du mois précédent.

Equifax

Equifax est un des plus importants bureaux de crédits et ils ont eu un accès récurrent non autorisé à leurs systèmes du 13 mai au 30 juillet 2017. Les équipes techniques étaient même avisées de la principale vulnérabilité exploitée puisqu’une note a même été distribuée à l’interne le 9 mars afin de corriger celle-ci (Apache Structs CVE-2017-5638). L’équipe de sécurité a détecté la situation uniquement le 29 juillet. Le PDG a appris la situation le 31 juillet et les administrateurs ont obtenu les informations le 24 et 25 aout. Finalement, c’est seulement le 7 septembre que Equifax a divulgué publiquement la brèche de sécurité.

143 millions (143 000 000, oui, avec six zéros) enregistrements sur des citoyens américains ont été obtenus, incluant noms, numéros d’assurance sociale (NAS), dates de naissance, et même certains permis de conduire. Après l’investigation par une firme de sécurité, le nombre final est de 145.5 millions, et inclut maintenant des numéros de cartes de crédit pour environ 209 000 clients. Au Canada, on est un peu plus chanceux puisque le nombre initial était de 100 000 clients, mais après investigation, le nombre révisé est de « seulement » 8 000 clients.

Le PDG a pris une retraite anticipée avec plusieurs exécutifs incluant le Chief Information Officer (CIO) et le Chief Security Officer (CSO). Equifax sera également la cible de plusieurs poursuites judiciaires, autant aux États-Unis qu’au Canada. L’ancien PDG devra même témoigner devant le Congrès américain. Il y a aussi quelques interrogations des régulateurs suite à la vente des actions de certains exécutifs lors de la détection de la brèche de sécurité. Toutefois, ces transactions ont été effectuées avant la divulgation publique de la situation et ces personnes pourraient donc faire face à des accusations pour délits d’initiés.

US Securities and Exchange Commission (SEC)

Cette agence fédérale américaine est principalement responsable de faire respecter les lois sur les valeurs mobilières et de réglementer cette industrie. La Commission a découvert une vulnérabilité applicative en 2016 et a été « rapidement » corrigée. Toutefois, la SEC a divulgué un incident possible puisqu’il aurait possiblement eu un accès non autorisé avant de mettre en place le correctif. Cette fois-ci, aucun accès à des renseignements personnels, mais à des informations sensibles n’étant pas encore publiques sur des compagnies. Une déclaration officielle a été publiée le 21 septembre.

Deloitte

Une des firmes comptables parmi les « Big 4 » a aussi été la cible ce mois-ci. La nouvelle a été publiée par le Guardian le 25 septembre. Deloitte est souvent la firme, parmi les « Big 4 », la plus reconnue pour ses services en cybersécurité. Les clients de la firme incluent 80% des organisations du Fortune 500. Il y a eu un accès non autorisé sur le serveur global de courriels de la firme hébergé avec le service infonuagique de Microsoft Azure. Et ce, probablement depuis octobre ou novembre 2016.

Rien de trop compliqué cette fois, les pirates informatiques ont simplement obtenu les informations de connexion concernant un compte administrateur. Par la suite, il était possible de se connecter directement au serveur de courriels ayant un accès aux courriels des 244 000 employés de Deloitte. Plusieurs courriels devaient probablement contenir plusieurs informations sensibles sur leurs clients et même des pièces jointes intéressantes. Le système n’a pas été compromis avec des connaissances techniques avancées, mais bien par des techniques d’ingénierie sociale dans le but d’obtenir les informations de connexion. De plus, sans authentification à deux facteurs (2FA), il était simple de se connecter à distance.

Sonic

Sonic est une chaine importante de restauration rapide aux États-Unis avec près de 3600 restaurants. Brian Krebs a été le premier à signaler cette brèche de sécurité le 26 septembre. En fait, le processeur de paiement pour les cartes de crédit de la chaine a informé celle-ci des activités inhabituelles en lien avec leurs transactions. Le détail de cette brèche de sécurité n’est pas encore connu. Toutefois, il a été possible de retrouver au moins 5 millions de comptes de cartes de crédit et débit en vente en ligne. Ces comptes sont fort probablement en lien avec la brèche chez Sonic.

Whole Foods Market

Whole Foods Market, qui a été acheté par Amazon, a aussi divulgué le 28 septembre que des informations sur les cartes de paiement ont été volées. L’investigation est toujours en cours et on devrait en savoir plus bientôt. Il y a un point très intéressant qui a été mentionné dans le communiqué de presse et c’est le fait que les systèmes en lien avec Amazon.com ne sont pas connectés à ceux de Whole Foods. J’espère bien pour eux, mais bon, ça valait la peine de préciser cette information.

Kantoku: Fin du projet et retour possible

Kantoku logoKantoku était une application autohébergée pour les entreprises afin de pouvoir gérer facilement leur gouvernance, risque et conformité TI (GRC). Comme mentionné dans une publication précédente, j’ai développé cette application pendant les premiers mois de 2016. Au début du projet, c’était une solution Software-as-a-Service (SaaS) avec une infrastructure en haute disponibilité sur AWS. Toutefois, j’avais rapidement décidé de retirer cette infrastructure en arrière de la solution SaaS. Principalement une question de priorités dans mes projets. Dans le but de garder le projet actif, une alternative était de toujours offrir Kantoku, mais en tant qu’application autohébergée. Dans ce cas, il était possible pour les entreprises de faire l’acquisition d’une licence et d’installer l’application sur ses propres serveurs.

Fin du projet

J’ai principalement développé cette application pour aider les petites et moyennes entreprises (PME) à gérer plus efficacement leur GRC TI. Même les PME ont des exigences de conformité à respecter. Ma stratégie était de pouvoir cibler un marché très spécifique afin d’offrir une alternative aux autres solutions pour les grandes entreprises. Une application plus simple et abordable pour tous. C’était aussi un complément intéressant de mes services-conseils. Toutefois, j’ai oublié de considérer les deux situations suivantes:

Petites et Moyennes Entreprises

Les PME sont déjà chanceux s’ils ont une personne à l’interne qui est conscient des principaux concepts de la GRC TI. Ils ont possiblement un consultant qui s’occupe de mettre en place les éléments de la GRC. C’est probablement plus rentable pour les entreprises qu’avoir un employé à temps plein. Leurs besoins de GRC ne sont donc souvent pas suffisamment complexes pour justifier l’implémentation d’une application dédiée. Ils préfèrent travailler avec plusieurs documents et ne pas perdre trop de temps à apprendre une nouvelle application. Les PME ne voient pas nécessairement les bénéfices à surveiller leur GRC et je peux très bien comprendre. Ils doivent se concentrer sur les principaux besoins de leurs organisations où il sera possible de générer de nouveau revenu.

Je dois aussi admettre que la vente n’est pas nécessairement une de mes forces. Je dois vraiment être convaincu que mon produit et/ou service sera bénéfique pour le client. Sinon, je ne veux pas vendre n’importe quoi à mes clients et ce n’était malheureusement pas le cas avec Kantoku. La plupart des entreprises ont principalement un besoin en services-conseils sur leurs stratégies de GRC. Évidemment, je vois un avantage pour eux d’avoir un consultant externe pour les guider dans cet univers. Pas une application qu’ils vont à peine savoir utiliser. Si je dois insister trop dans mes explications à propos des fonctionnalités d’une solution, peut-être que ce n’est pas la bonne solution pour le client.

Grandes Organisations

Pour les grandes organisations, ils ont souvent le budget pour acquérir une solution bien connue avec toutes les fonctionnalités avancées tel que RSA Archer, Resolver, MetricStream, Reciprocity, etc. C’est vraiment difficile de compétitionner avec des solutions qui coutent plus que juste quelques milliers. De plus, ces organisations ne vont pas faire la différence entre les solutions. Ils recherchent les mêmes fonctionnalités, peu importe la solution, et c’est compréhensible.

Retour possible

Tel que mentionné précédemment, même si je suis vraiment fier de cette application de GRC TI, Kantoku ne sera plus offert. Une autre raison est aussi que mes projets en lien avec la vie professionnelle sont tous autour de la GRC TI et j’ai simplement besoin d’un projet dans un domaine différent afin de me diversifier un peu. C’est aussi important pour moi de rester indépendant lorsque c’est le temps d’offrir mes services en consultation. Je ne peux pas offrir une solution et être impartial avec les autres solutions existantes. Il y a aussi une solution alternative « open source » bien intéressante, Eramba. Ça pourrait définitivement être une alternative pour plusieurs PME avec un intérêt envers leur GRC TI. J’ai eu l’occasion d’échanger quelques courriels avec le fondateur et j’aurais une préférence de collaborer avec eux dans le futur.

Pourquoi un retour possible? Je travaille déjà sur un autre projet, mais je ne veux pas en mentionner trop pour le moment. Ça ne sera pas une application dans un marché précis, tout simplement parce qu’il existe déjà plusieurs autres applications similaires. Toutefois, je ne suis toujours pas satisfait des solutions existantes. Cette fois, ça sera une solution SaaS et je vais probablement utiliser de nouveau le nom de domaine « kantoku.io ».

CISSP: Réussi, et une autre étape complétée

CISSP By (ISC)² [Public domain], via Wikimedia Commons

Terminé. Cet examen de 6 heures avec ses 250 questions est enfin du passé. Eh oui, je parle bien du légendaire CISSP ou l’examen pour le « Certified Information Systems Security Professional » de ISC2. C’est probablement la certification que la plupart des professionnels en sécurité de l’information souhaitent obtenir à un moment donné dans leur carrière. Pourquoi? Pour plusieurs recruteurs et compagnies à la recherche d’un professionnel en sécurité de l’information, le CISSP est depuis longtemps la certification de référence pour un emploi dans ce domaine.

Préparation

J’ai commencé le processus en 2015. En fait, j’avais décidé de poursuivre le SSCP ou le « System Security Certified Practitioner » de la même organisation. C’est un examen plus court qui est théoriquement un peu plus technique, mais pas très technique non plus en comparaison à d’autres certifications. Toutefois, c’est un examen qui m’a aidé à avoir une première expérience avec un examen de l’ISC2 avant de poursuivre le CISSP. Les deux examens partagent des domaines similaires, mais pas nécessairement au même niveau.

Pour me préparer à l’examen, j’ai seulement acheté le guide d’étude officiel, le CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide (en anglais); celui-ci est vraiment bien écrit pour un livre officiel en provenance de l’organisation de certification. Aucunement besoin d’acheter plusieurs livres et de lire de nouveau le livre plusieurs fois. Il est surtout important de se pratiquer et de comprendre les types de questions et réponses de l’ISC2. Je sais pertinemment que je performe toujours mieux avec la pratique, donc j’ai utilisé le livre officiel avec les questions de pratique, le CISSP Official (ISC)2 Practice Tests (en anglais) et même l’application mobile (en anglais); celle-ci est vraiment un outil pratique à utiliser lors du transport quotidien.

L’examen est comme tout autre examen, juste plus long et probablement plus dispendieux. Il faut prendre les questions une à la fois et prendre son temps pour bien évaluer les réponses. Qu’en est-il de la durée? Environ 4 heures. J’ai été en mesure de répondre aux questions et d’en réviser quelques-unes.

Critique

Il y a certaines critiques à l’égard de cette certification parmi les professionnels de la sécurité de l’information. Il semble y avoir une mauvaise compréhension au sujet des connaissances et expériences acquises suite à l’obtention de cette certification. Il faut dire que dans ces temps-ci, une organisation demandera tout d’abord un candidat avec un CISSP pour tout rôle en lien avec l’univers de la sécurité de l’information. De l’analyste en sécurité de l’information jusqu’aux rôles plus techniques tels que les « penetration testers », les architectes de sécurité, les spécialistes en chiffrement, les spécialistes en sécurité infonuagique, etc. C’est la plus grande erreur.

À mon avis, le CISSP est une certification concernant la gestion de la sécurité de l’information permettant d’avoir une meilleure maitrise des politiques et standards de sécurité. Le CISSP pourra certainement guider et gérer les objectifs de la sécurité de l’information d’une organisation. Toutefois, cette personne avec ce rôle sera supportée par des personnes avec de meilleures compétences techniques. Ce n’est certainement pas une certification technique. Évidemment, ça dépend toujours de l’expérience professionnelle de la personne puisqu’il est tout à fait possible de rencontrer un détenteur du CISSP avec des connaissances avancées des concepts techniques.

Certification

Bon, c’est de nouveau la période d’attente. Je devrais obtenir la certification CISSP au courant de 2019 après avoir accumulé l’expérience professionnelle requise. Chaque détenteur doit avoir entre 4 à 5 ans d’expérience directement reliée à la sécurité de l’information dans au moins 2 des 8 domaines. Par contre, je dois admettre que c’est un des avantages de cette certification. Il est possible d’obtenir un an de moins selon les études et autres certifications. J’ai aussi eu une situation similaire avec le CISA où il y a une exigence de 2 à 5 ans d’expérience professionnelle.

Quelle est la prochaine étape après le CISSP?

Je suis encore indécis au sujet de la prochaine étape. Je crois avoir complété la majorité des certifications les plus pertinentes pour mes intérêts. D’un autre côté, je suis toujours curieux au sujet des questions sur la vie privée et je voudrais certainement en apprendre plus à ce sujet. Il y a d’ailleurs une certification qui a attiré ma curiosité de l’ International Association of Privacy Professionals , mais ça sera pour une autre publication…

Pourquoi avoir fait la certification OSCP?

Depuis les dernières années, je suis de plus en plus du côté de l’audit TI et de la sécurité de l’information. Du moins, en théorie, j’ai encore plusieurs projets techniques… Toutefois, ça faisait déjà quelque temps que je voulais poursuivre la certification « Offensive Security Certified Professional » (OSCP). Au début, c’était un défi intéressant et surtout, je voulais valider mon intérêt à poursuivre une carrière dans le domaine des tests d’intrusion et c’était définitivement une bonne façon de confirmer, ou non, mon intérêt.

La certification OSCP est unique parmi les autres certifications TI. Les étudiants doivent faire un effort considérable et surtout faire beaucoup plus que « seulement » apprendre les théories et réussir un examen à choix multiples. Pour obtenir la certification, les étudiants ont 24 heures pour obtenir les accès privilégiés de 5 serveurs. Par la suite, un autre 24 heures pour rédiger un rapport. En fait, c’est une simulation d’un mandat qui serait possible de réaliser en entreprise ou pour un client.

Les étudiants peuvent se préparer à l’examen par l’étude du “Penetration Testing with Kali” (PWK) qui présente, à haut niveau, les différentes techniques afin de compromettre des serveurs. Il y a le livre électronique et aussi de très bons vidéos. Le matériel permet aux étudiants d’avoir une introduction aux différentes méthodes. Kali, c’est la distribution Linux maintenue par l’Offensive-Security, précédemment connu sous le nom de BackTrack. Dans tous les cas, la partie la plus importante, c’est définitivement l’accès au laboratoire virtuel, “Offensive Security Penetration Testing Labs”. Le laboratoire est l’endroit où les étudiants peuvent exploiter plusieurs machines avec différents types d’attaque. C’est quasiment impossible d’être en mesure de réussir l’examen final sans passer un nombre d’heures impressionnant dans le laboratoire.

Avant de commencer mon expérience dans le lab, je dois admettre que le tout me semblait beaucoup plus simple et que ça serait tout de même facile de passer au travers la formation. Oh que non! Une formation beaucoup plus intensive que prévu. Si vous êtes intéressé par la certification et le domaine des tests d’intrusion, c’est une excellente expérience et je recommande fortement la certification. Par contre, il faut avoir une très bonne détermination. Tout étudiant sera frustré à plusieurs reprises et bloqué sur plusieurs serveurs dans le lab. Pas seulement une heure ou deux, mais probablement pendant plusieurs jours. Il y a une solution pour toutes les machines; du moins, presque tous les serveurs… La solution pour compromettre un serveur est souvent bien simple, mais il faut trouver le vecteur d’attaque et c’est pas toujours évident. Par contre, après les premiers serveurs, il y a une certaine fierté à vouloir trouver la faille d’une autre machine et on veut toujours continuer plus loin.

C’est toujours possible de demander de l’aide sur le canal IRC, mais impossible d’obtenir une solution ou la réponse sera simplement… « Try Harder! ». Et, oui, ils sont réellement sérieux sur ça. Avant de commencer, je ne connaissais pas encore la signification de ces deux mots, mais on l’apprend assez vite. En classe, je n’ai jamais été l’étudiant à poser des questions et je me débrouillais souvent par moi-même; plus simple et réponses disponibles en ligne. Avec la certification OSCP, c’est bien différent. L’équipe à Offensive-Security est tout de même bien heureuse de guider les étudiants et il y a aussi un forum dédié pour les étudiants. Par contre, il faut vous attendre à des réponses bien vagues, même si vous avez une partie de la solution. Vous devez être prêt à apprendre par vous-même. Si vous avez besoin d’un formateur qui vous explique les théories avec des exemples, bien, ce n’est pas pour vous. Les solutions ne sont pas dans le PWK, et c’est seulement un outil pour aider les étudiants après dans le lab.

Même avec un examen réussi en janvier 2016, j’ai l’impression que c’était cette année. Probablement plus difficile que la plupart de mes examens à l’université ou des autres certifications professionnelles. Quand je vois quelqu’un avec une certification de l’Offensive-Security, je sais très bien que la personne a mis les efforts nécessaires. Au final, je ne vais pas poursuivre une carrière en tests d’intrusion, mais c’est définitivement un atout important pour n’importe qui en sécurité de l’information.

Téléphones intelligents et aperçu des notifications

Pour protéger ses informations, il ne s’agit pas toujours de mettre en place des solutions avancées. En fait, c’est souvent l’ensemble de plusieurs mesures de sécurité qui permettent de protéger globalement l’information. Le cas de cet article, les téléphones intelligents. Première mesure simple, c’est bien sûr de configurer un mot de passe pour éviter que n’importe qui puisse fouiller dans vos données. Par contre, il est très rare que les utilisateurs personnalisent l’affichage des notifications sur l’écran verrouillé. Ces notifications peuvent sembler bien banales, mais au contraire, pourraient afficher plusieurs informations intéressantes. En plus d’indiquer l’expéditeur, les notifications affichent souvent un aperçu des messages reçus et c’est surtout à ce niveau, à mon avis, qu’il faut faire attention. Dernièrement, j’ai publié l’article “Principe de base de l’authentification à deux facteurs” et une méthode pour recevoir un code temporaire est souvent par messagerie texte (SMS). Qu’est-ce qui arrive lorsque l’aperçu des notifications est activé? Le code temporaire est tout simplement affiché sur l’écran verrouillé du téléphone intelligent. Seulement quelques minutes loin de votre téléphone sont nécessaires pour qu’une personne profite de l’occasion. Autre situation. On a souvent une tendance à laisser notre téléphone un peu à la vue de tous que ce soit chez un client, au restaurant ou même sur notre propre bureau. Donc, sans laisser votre téléphone, il est facile pour une autre personne de voir vos notifications reçues sans stratagème complexe. En exemple, vous recevez un courriel de votre comptable. Les premiers caractères de l’aperçu pourraient très bien mentionner un chiffre important ou encore, une transaction en cours que vous voulez garder privée. Un rappel provenant de votre agenda concernant un rendez-vous? Information intéressante pour connaitre vos habitudes. Même l’affichage de l’expéditeur pourrait être dans certains cas une information pertinente. Vous recevez un appel d’un bureau d’avocats spécialisés en fusions et acquisitions d’entreprises? Vous êtes surement en train de travailler sur un dossier important. Il ne faut pas oublier que c’est l’ensemble des informations acquises sur une personne provenant de plusieurs sources qui permettront de connaitre ses habitudes et activités. Dans la plupart des cas, une simple notification indiquant la réception de nouveaux messages ou autres est amplement suffisante et protège vos informations. De toute façon, il est nécessaire de déverrouiller l’appareil afin de consulter au complet la nouvelle communication et pour y répondre…

Jean-Philippe Rivard LauzierJean-Philippe Rivard Lauzier J'offre des services de consultation en sécurité de l'information, conformité et audit. Je suis certifié CISA, SSC et OSCP; je détiens aussi un diplôme de 2e cycle en gouvernance, audit et sécurité TI.

Subscribe to receive content by email

Archives