Défense en profondeur: Le cas Furet
Date de publication: 04/08/2024
Oui je sais, ça va bientôt faire 3 ans que je n’ai rien écrits. Mais sachez que cela fait maintenant 2 ans que je récolte des informations afin de rendre cet article le plus juste possible (oui oui, je vous jure). Pourquoi 2 ans ? Car cela fait maintenant 2 ans que j’ai adopté mes deux furettes: Kali & Lifi.
Et c’est à ce moment précis que vous fondez devant tant de mignonnerie… Je le sais, je suis passé par le moi aussi !
Le furet
Le furet est un animal récemment domestiqué, même s’il reste rare d’en voir en Europe (c’est totalement légal, je vous rassure.). Il a, par défaut, une nature très joueur et extrêmement curieux. Kali & Lifi n’ont pas échappé aux lois de la nature ! (On dit souvent que l’animal ressemble à son maître…)
Cette petite bête dort en moyenne 20 heures par jour et passe le restant de ses journées à semer le chaos partout ou il va. PAR-TOUT.
La curiosité et l’hygienne numerique
Au moins, avoir des furets chez soi vous apprend des tonnes de choses. Notamment à ne jamais laisser quoi que ce soit traîner. Sinon, ces petits diables iront rapidement le cacher quelque part dans votre maison (sous le lit, sous le canapé, derrière les meubles, etc.).
Ce premier point est intéressant, car on peut facilement le traduire dans le monde numérique sous forme d’hygiène numérique.
En effet, une chose que je rappelle souvent à mes proches est de laisser le moins d’informations personnelles en ligne. Cela peut vous paraître évident, mais chacune de ses infos peut être chopée par un furet numérique (autrement appelé “bot” ou “skid”) et emmenée dans un endroit sombre d’Internet pour y faire je-ne-sais-quoi avec. Ne pas laisser traîner ces affaires ! Restez propres et ne communiquez que le strict minimum sur les plateformes en ligne.
Authentification Multi-facteur
Il y a quelques mois, nous avions encore une cage pour Chinchilla afin d’y accueillir les deux tornades. Cette cage, bien que jolie, n’était pas totalement faite pour accueillir deux furets adultes (et les équipements qui vont avec).
Je me suis donc attelé à scier une partie de la cage afin de bricoler une porte plus grande et pouvoir faire passer les litières plus facilement. Un coup d’impression 3D, deux coups de scie et quelques vis plus tard, me voici avec une belle porte en bois bien intégrée avec la cage. Afin de refermer cette porte, un crochet lui aussi imprimé en 3D était positionné sur le côté de la cage.
Tout fier de mon bricolage, je range les furettes et vais me coucher. Quelle fut ma surprise quant au petit matin, j’ai vu Kali à mes pieds dans le lit, avec un regard plein de défiance en mode “Tu as bien choisi mon prénom” ! (Reference)
J’ai très vite compris qu’elle avait réussi à ouvrir ma porte DIY. Mais comment ? En l’observant plus attentivement, j’ai remarqué qu’elle avait trouvé le moyen de décrocher le crochet en se mettant sur le dos et en poussant avec ces pattes avant. Cela avait pour effet de soulever un tout petit peu la structure de la porte. Assez pour soulever le crochet lui aussi… Qui eut cru que les furets faisaient du développé couché durant la nuit ?
Mon ego ayant pris un gros coup, je me rends compte qu’une seule méthode d’authentification n’est pas assez. Tu as bien prouvé que tu savais quelque chose, mais je n’ai qu’à rajouter une méthode que “j’ai”.
À des fins de compréhension pour mes lecteurs non-techniques, voici un petit paragraphe explicatif.
Vous avez sûrement remarqué que la plupart des services en ligne vous demande, lorsque vous vous connectez, de rentrer un code envoyé par SMS ou email. C’est un mécanisme permettant d’ajouter une couche de sécurité à votre compte. On considère généralement plusieurs types de “facteurs” de sécurité:
Un que je connais (le mot de passe)
Un que j’ai (Une clé de sécurité physique par exemple)
Un que je suis (Mon empreinte biométrique)
On recommande généralement au commun des mortels de mettre en place deux types d’authentification, afin de mitiger partiellement les risques liés à la fuite de mot de passe.
Dans notre cas, Kali a exploité une vulnérabilité de mon système pour faire sauter mon premier verrou. J’aurais très bien pu changer mon verrou par quelque chose de plus robuste (un cadenas à code ou un antivol moto par exemple) mais cela en aurait fait pâtir mon confort au quotidien. Alors, j’ai tout bonnement rajouté un second crochet, qui maintient la porte bien collée à la cage à l’aide d’une cordelette. Pour défaire ce système, il faut avoir des pouces opposés et avoir un certain coup de main pour pouvoir le défaire. Je venais de configurer une méthode “avoir”.
Depuis ce changement, Kali a bien réessayé de faire un “sandbox escape”, sans succès !
Disclaimer: Ces exemples ne sont pas 100% représentatifs de la réalité dans les systèmes numériques, mais ils s’en rapprochent suffisamment afin de mettre en lumière des similarités et en deduire une morale.
Mais alors, quelle leçon tirer de tout ça ? Toujours utiliser au moins deux facteurs d’authentification. Même si cela rend vos connexions aux plateformes moins simples, il en va de la sécurité de vos comptes.
Security by obscurity
Même si le concept de “Sécurité par l’obscurité” est considéré largement comme désuet, beaucoup d’organismes continuent de se reposer dessus afin de garantir un semblant de sécurité.
Dans le cas d’un attaquant informatique, trois facteurs sont très importantes à considérer lorsque l’on veut créer un plan de défense:
Le temps qu’ils ont à perdre
Les ressources financières à leur disposition
Le potentiel retour sur investissement
Si un attaquant dispose de peu de temps, peu d’argent et que leur cible ne vaut pas grand-chose, il y a fort à parier qu’ils ne se lanceront pas dans une attaque de grande envergure contre vous. Par contre, s’ils ont du temps, un peu d’argent et que leur cible peut leur rapporter un peu de cash, ils n’hésiteront sûrement pas.
J’aurais aimé vous dire que c’est pareil avec les furets, mais la réalité est différente. Dans le cas de ces tsunamis, ils ont:
Toute leur vie consacrée à semer le chaos
Pas de ressources financière, mais une énergie illimitée
À leurs yeux, chaque operation vaut le coup (quitte à en mourir s’il le faut)
Vous avez donc devant vous le pire ennemi potentiel de n’importe quelle équipe de défense informatique. Un adversaire infatigable et inarretable. Votre mission, si vous l’acceptez, va être de monter un système de sécurité afin de faire face à leurs attaques.
Les furets ont tendance à gratter et à creuser. Nos biens à proteger dans une maison sont principalement tout ce qui est fait de mousse et autre matériau mou. (canapé, oreillettes de casques, etc)
Dans notre ère moderne, plus beaucoup de monde ne passe des heures à scanner l’intégralité d’Internet afin de rechercher des informations intéressantes… des scripts s’en chargent. Même si vous pensez avoir “caché” un fichier sur votre serveur web, un adversaire avec suffisamment de temps et de ténacité finira par le trouver. Il en va de même si vous avez des furets !
Il m’est arrivé plusieurs fois de trouver des choses, lors de tests d’intrusions ou autre, qui n’étaient “connus que de leur propriétaire, donc sensé être caché”. Dommage, vous êtes tombé sur un cyber-furet.
Moralité de l’histoire: si vous voulez être sûr que personne d’autre que vous ne tombe sur quelque chose, protégez-le avec une authentification (mot de passe, par exemple) ou alors ne le mettez pas en ligne du tout (c’est encore mieux au final).
Mettre sa barriere plus haute que les autres
Je me souviens encore de ce cours auquel j’ai assisté durant mes études. Notre professeur nous expliquait les fondamentaux de la sécurité informatique, d’un point du vue organisationnel. Il avait pour habitude de dire :
“Vous ne pourrez jamais avoir une sécurité parfaite. Néanmoins, vous pouvez toujours mettre votre barrière juste un peu plus haut que celle des concurrents. Les loups affamés s’attaqueront aux moutons de vos voisins plutôt qu’aux vôtres.”
Et c’est exactement ce que j’ai fait ! Rendre plus accessibles des jouets / distractions, et rendre plus compliqué l’accès aux zones à protéger. Même si elles ont énormément de ténacité et beaucoup de temps, le fait de rendre leurs jouets plus accessibles aide beaucoup à réduire les incidents.
La diversion
Dans le monde informatique, les “honeypots” sont des systèmes permettant de tromper le pirate et lui faire croire qu’il vient de tomber sur un système très vulnérable. Ce système est en réalité conçu dans ce but, et toutes les actions de l’attaquant sont enregistrées et analysées.
Pour ce qui est de recréer des Honeypots dans le monde réel, j’ai pour habitude de laisser traîner volontairement des objets inhabituels par terre (notamment des cartons de colis, par exemple). Ce genre de stratagème est maitrisé car je sais que cet objet est totalement inoffensif pour elles. En jouant ma meilleure comédie, j’arrive à persuader mes deux tornades que cet emballage n’a rien à faire là et qu’il ne faut absolument pas y toucher ! C’est exactement à ce moment que leurs moustaches frétillent à l’idée de faire une bêtise et… elles finissent par passer 30min à jouer avec (au lieu de venir m’embêter, pendant que je sors le linge de la machine, au hasard).
Conclusion
Ceux qui me connaissent savent à quel point j’aime faire des analogies, surtout lorsqu’il s’agit du monde numérique. Je pense que cet article en est la preuve ! Merci beaucoup de m’avoir lu, je vous retrouve dans mon prochain article très bientôt !