Malgré tout, de plus en plus d’attaques sur des environnements Blockchain sont constatées, avec des fraudes s’élevant souvent à plusieurs dizaines de millions d’euros.

Mais alors, quel niveau de confiance peut-on vraiment accorder à cette technologie ? Décryptage des attaques visant la Blockchain et retour sur les mesures à prendre pour améliorer ce niveau de confiance.

Protéger les services et applications accédant à la Blockchain

Un membre d’un réseau Blockchain est identifié grâce à une paire de clés cryptographiques : une clé privée, qui lui permet de signer ses transactions et de bénéficier des transactions reçues ; et une clé publique, qui permet aux autres membres du réseau d’identifier les transactions émises de sa part et de lui en transmettre. S’assurer de bien conserver et protéger sa clé privée est donc vital. Or, celle-ci est souvent stockée par son propriétaire sur son ordinateur ou téléphone, périphériques connus pour être aisément attaquable.

Aussi, de plus en plus d’utilisateurs choisissent de confier leur clé privée à des intermédiaires. Force est de constater que la plupart des attaques impactant Bitcoin ont en réalité directement ciblé ces plateformes intermédiaires. Il est donc primordial de protéger la manipulation des clés privées et plus globalement l’ensemble des services accédant au réseau Blockchain.

Dans le cas d’une Blockchain s’appuyant sur des smart-contracts, le niveau d’interaction avec l’extérieur du réseau peut être important, puisque ces derniers s’appuient sur la vérification de paramètres d’entrée, potentiellement externes au réseau. Il n’est alors plus question de sécuriser seulement les plateformes accédant à la Blockchain, mais également celles accédées par la Blockchain pour valider les conditions d’une transaction.

Exemples de services accédant à la Blockchain Bitcoin

Surveiller la puissance de calcul des mineurs pour éviter une attaque 51%

L’attaque 51% consiste à avoir plus de 51% de la puissance de calcul du réseau dans le but d’annuler, ajouter ou modifier des transactions présentes dans un bloc. L’idée est de créer une chaine alternative et plus longue que la Blockchain existante afin de la remplacer. Cela est rendu possible en exploitant un paramètre essentiel de la Blockchain : lorsque deux chaînes sont concurrentes, la chaine la plus longue est considérée comme la chaine légitime.

Explication de l’attaque 51%

Ce risque est plus important dans le cadre de Blockchains privées ou hybrides, composées d’un nombre restreint d’utilisateurs, et pouvant donc plus facilement représenter plus de la moitié de la puissance de calcul. Aussi, des mesures de sécurité doivent être mises en place pour prévenir et détecter ce type d’attaque : engagements contractuels, mécanismes de surveillance et de contrôle, etc.

Sécuriser le code des smart-contracts

Un smart-contract est un programme informatique inscrit dans une Blockchain et qui s’exécute de manière automatique une fois les conditions du contrat réunies.

Les conséquences d’une erreur de codage peuvent être catastrophiques et difficilement réversibles, comme en témoigne l’affaire TheDAO (application basée sur la Blockchain Ethereum et se présentant comme un fond d’investissement participatif et mutualisé). À partir d’une vulnérabilité découverte dans le code source du smart-contract TheDAO, un membre du réseau a pu drainer le compte principal de l’application à hauteur de 50 millions de dollars. Ces fonds furent en partie récupérés suite à une opération appelée « hard fork », s’apparentant à une attaque 51% concertée.

En soi, ceci n’était pas une attaque car le contrat a été respecté, seule sa conception était défaillante. La création de cas d’usage basés sur des smart-contracts doit impérativement être associée à des mesures de sécurité applicative et un développement sécurisé.

Un système Blockchain est souvent considéré comme sécurisé par nature, mais les attaques présentées témoignent du contraire. La nature des plateformes accédant ou accédées par la Blockchain, la complexité des éventuels smart-contracts ou le nombre de mineurs du réseau sont autant d’éléments pouvant influer sur la sécurité du service fourni.

Affaire TheDAO

Cet article Peut-on avoir une confiance sans limite dans la Blockchain ? est apparu en premier sur RiskInsight.

Sceptique ? Votre banquier n’a pas les mêmes capacités qu’Harrison Ford ? Entre mythe et réalité, revue des concepts de la cybersécurité au cinéma.

L’image du hacker : cool et sexy

Tapant plus vite que son ombre et utilisant un maximum de termes techniques dans la même phrase (un savant mélange de « chiffrement », « pare-feu » et « adresse IP »), le hacker est un personnage type du cinéma défini par un certain nombre de caractéristiques : un anti-héros intelligent, solitaire et en décalage avec la réalité, contrastant avec les gros bras musclés du cinéma des années 80 (imaginez Clint Eastwood ranger son Magnum pour pianoter sur son clavier d’ordinateur).

Néo, personnage principal de Matrix, en est le parfait exemple : programmeur de jour, hacker de nuit, reconnu pour ses talents au point de se faire remarquer par Morpheus. Dans un style plus punk, et amplifiant par un autre cliché la caractéristique antisociale du hacker, Lisbeth Salander dans Millenium est un archétype du personnage : elle survit grâce à ses talents en piratage informatique. Une enfance chaotique, une vie sociale inexistante en dehors de son ordinateur et une certaine aversion pour la violence.

Si on retire l’image caricaturale du hacker, Hollywood dépeint surtout le côté hacktiviste du hacker, qui milite pour ses idéaux au travers d’actions visibles et politisées. Et notons d’ailleurs que les hacktivistes lui renvoient l’ascenseur : le symbole des hacktivistes est clairement inspiré du film V pour Vendetta (le masque est tout de même plus joli que celui de Zorro). Clairement, les attaquants aux cibles purement lucratives  (vols de données personnelles, vols de cartes bancaires… à l’image des attaques subies par Target aux États-Unis ou encore Orange en France) sont beaucoup moins représentés à l’écran

Le cinéma a donc une vision idéaliste, et avouons-le beaucoup plus « sexy » du hacker, plus proche du héros hollywoodien se battant pour ses idées que d’une bande organisée utilisant ses talents informatiques dans un objectif de gain.

Cyberguerre, terrorisme, impacts majeurs… le cinéma dans la surenchère !

Première règle d’un film Hollywoodien : il faut que ça « explose de partout ». Les attaques cybercriminelles au cinéma ne font pas exception à la règle : « une ligne de code peut être dévastatrice », pourrait en résumer la bande annonce. Cependant, même si ces attaques sont clairement amplifiées par la magie des effets spéciaux, Hollywood n’est finalement pas si éloigné que ça des attaques réelles.

Prenons Die Hard 4 où les dangers du tout connecté sont mis en scène quand un virus contamine le système d’information national des États-Unis (communications, transports, énergies, etc.). Vague de chaos sur le pays, et une fois de plus seul Bruce Willis est en mesure de sauver le pays (en explosant une voiture sur un hélicoptère. certes). Sabotages, attaques de systèmes industriels, pollution du programme nucléaire… Stuxnet ou Havex n’auraient-ils finalement pas eu leur place dans le film ? Clairement les attaques réelles montrent à quel point une attaque informatique peut désormais avoir des impacts et des répercussions économiques et industrielles importantes, et la réalité n’est pas si éloignée de la fiction.

Et si on continuait dans la surenchère ? Autant s’attaquer directement aux institutions gouvernementales ! Et à ce sujet, comment ne pas citer James Bond et Jack Bauer ? Rappelez-vous : dans Skyfall, le siège du MI6 explose à la suite d’une intrusion dans le système d’information des services secrets, et dans la dernière saison de 24, des drones militaires sont détournés suite à une attaque informatique. Si de telles attaques n’ont heureusement jamais eu lieu en réalité, les attaques réelles n’épargnent pas vraiment les institutions ! L’Élysée n’a t-il pas été victime d’attaques informatiques à plusieurs reprises ?

Espérons à ce stade que le cinéma n’est pas totalement visionnaire… comme il le fut pour l’affaire Snowden ! En effet, Ennemi d’État racontait dès 1998 la traque d’un homme en possession de documents confidentiels de la NSA. 15 ans plus tard, la réalité a clairement dépassé la fiction, et les moyens d’espionnage utilisés par la NSA dans le film sont finalement très crédibles.

L’humain au cœur de la cybercriminalité

Les techniques d’attaques sont  probablement un des sujets casse-tête des réalisateurs. Un personnage écrivant des lignes de code sur son ordinateur risque rapidement de faire fuir les téléspectateurs. Et c’est pourquoi, mis à part quelques rares exceptions (comment ne pas évoquer nmap utilisé plusieurs fois dans Matrix), le cinéma préfère clairement se focaliser sur les personnages à l’origine des attaques et non sur la technique.

Dès 1995, Hackers (cultissime !) illustrait parfaitement l’exploitation du facteur humain dans les attaques informatiques. Dans ce film, une poignée de protagonistes se faisaient passer pour des réparateurs informatiques afin de s’introduire dans le système d’information d’une entreprise. Le réalisateur pourrait exiger des copyrights : en 2013, cette technique d’ingénierie sociale a été utilisée par des cybercriminels se faisant passer pour des membres du support informatique pour infiltrer la banque Barclays et détourner près de 1,25 millions de livres. Et si vous recherchez une définition précise de l’ingénierie sociale, inutile d’ouvrir un dictionnaire, visionnez plutôt Catch Me If You Can, un vrai film de hacker … sans aucune attaque informatique !

Continuons sur l’importance du facteur humain à Hollywood. En cherchant bien, on peut même trouver un enseignement dans Jurassic Park. En effet, le point de départ de l’intrigue est la désactivation du système de sécurité par un programmeur du parc pour s’emparer d’un échantillon d’ADN et le revendre. Certes, avec moins de dinosaures mais autant d’argent, les exemples d’attaques dont l’origine provient d’un employé malveillant, frustré ou appâté par le gain sont multiples. Maîtriser les comptes à privilèges, n’est-ce pas une des bases de la cybersécurité ?

En conclusion

Le hacker reste au cinéma un héros hollywoodien comme un autre : il ne doit pas être proche de la réalité, seulement correspondre à la représentation collective admise. Et il faut du spectacle et du suspense : une intrusion dans un système d’information pour voler des informations est moins distrayante qu’une attaque explosive sur tout Manhattan. Les films sur la cybersécurité respectent les codes du cinéma. Inutile de chercher trop d’enseignement dans ces films, même si certaines situations nous rappellent aujourd’hui clairement que la réalité rattrape la fiction.

Après le cinéma, c’est désormais au tour de la télévision et des jeux vidéos de sortir leurs blockbusters cybersécurité. Impossible en effet de conclure cet article sans évoquer le phénomène Watchdogs, ou l’arrivée prochaine de la nouvelle série Les Experts-Cyber, qui risque de nous fournir encore quelques belles répliques. « Je vais la distraire. Ping son adresse IP pour la localiser ».

Cet article Cybersécurité au cinéma : la fiction est-elle à la hauteur de la réalité ? est apparu en premier sur RiskInsight.

Comment construire sa stratégie de repli ? Quelles solutions retenir ?

Connaître ses Métiers critiques

Il est tout d’abord nécessaire de réaliser un Bilan d’Impact d’Activité (Business Impact Analysis ou BIA), qui permettra de cartographier les activités Métiers (notamment en les localisant géographiquement), quantifier l’impact de l’interruption de ces activités dans le temps sur un référentiel partagé (Le BIA permet donc la définition d’un chronogramme de reprise des activités du site en cas de sinistre), et enfin de connaître les spécificités opérationnelles des Métiers afin d’identifier les contraintes techniques qui devront être prises en compte lors d’un éventuel repli (poste de travail spécifique, téléphonie enregistrée, équipement call-center pour les centres de relation client, lecteur de chèques, …)

Identifier exhaustivement les solutions à envisager

Une multitude de solutions permettant un repli de collaborateurs existent à l’heure actuelle :

• Site de repli interne dédié : bâtiment possédé par l’organisation et dédié au PCA
• Site de repli externe, au travers de positions de travail louées et utilisées en cas de crise, selon 2 modèles de location : positions dédiées au souscripteur, positions mutualisées entre plusieurs clients (cette dernière soulevant le risque de non obtention du volume de position souscrites en cas de choc extrême touchant simultanément plusieurs structures)
• Repli croisé entre les sites de l’organisation : réquisition de bureaux disponibles et des salles de réunion des bâtiments non sinistrés et déploiement de postes de travail aux collaborateurs repliés par l’organisation.
• Le Nomadisme ou travail à distance, grâce à des solutions appropriées permettant aux collaborateurs de travailler de chez eux (postes nomades, accès distants au SI, etc.). Cette solution de repli est relativement bien adaptée aux métiers « prédisposés » au travail à distance, avec une faible spécificité opérationnelle (par ex. les populations commerciales.

La stratégie de repli : un portefeuille de solutions à orchestrer

La confrontation des solutions de repli (capacité d’activation dans le temps, contraintes techniques) au BIA (chronogramme de reprise, spécificités opérationnelles) va permettre la conception d’une stratégie globale constituée de la combinaison de solutions unitaires, adaptées à un contexte, des contraintes Métiers et des contraintes de l’organisation. Cette association en un portefeuille de solutions permet de répondre efficacement aux enjeux de la reprise d’activités.

On peut donc, par exemple, envisager une « fusée à 2 étages ».

Les activités critiques, dont la reprise très rapide est vitale (reprise en moins de 48h)

En général, la reprise de ces activités s’envisage sur un site dédié et déjà préparé (postes de travail, raccordement réseau, téléphonie), sur un site de l’organisation ou chez un prestataire.

On peut notamment penser à des activités de front office, de call center, ou encore de fonctions supports très sensibles, alliant au besoin de reprise fort des contraintes opérationnelles complexes à mettre en œuvre rapidement (stations de travail scientifique, téléphonie enregistrée).

Les activités moyennement critiques (reprise à partir de 48h) et les activités non critiques (reprise au-delà de 1 à 2 semaines

Le panel de solutions est large : si le repli chez des prestataires reste d’actualité, on peut dorénavant penser à des solutions moins couteuses, mais nécessitant un certain temps de déploiement opérationnel : repli croisé, nomadisme ou encore déport d’activité. Il est toutefois important de prendre en compte un certain nombre de contraintes lorsque l’on se tourne vers des solutions « internes »  (accès réseau, fourniture de postes de travail, …).

Cette première réflexion permettra de donner naissance à plusieurs scénarios de repli, qu’il conviendra d’évaluer selon des critères choisis : coûts de la solution de continuité (investissement, coût récurrent de maintenance annuelle), capacité à répondre au besoin (reprise des activités techniques, capacité d’activation, …), couverture de risque : capacité à être utilisable sur plusieurs scénarios de risques (par ex. perte d’un bâtiment, pandémie, …), complexité de mise en œuvre de la solution de repli, maintien en conditions opérationnelles (MCO) (complexité et charge du MCO, maintien de la situation dans le temps, …), testabilité de la solution (bascule, ouvertures des accès, …)

A titre d’exemple, on peut imaginer les analyses comparatives représentées ci-dessous :

Enfin, dans le cadre de la mise en place d’une solution s’appuyant sur du repli, un point d’attention est à prendre en compte : la définition de modalités RH. En effet, les conditions de travail des collaborateurs se trouvant modifiées, il est nécessaire de définir un cadre dans lequel s’inscrire en situation de crise.

Cet article Indisponibilité d’un site utilisateur : quelle(s) stratégie(s) de repli ? est apparu en premier sur RiskInsight.