Défense en profondeur: Le cas Furet

Date de publication: 12/11/2023

Oui je sais, ça va bientôt faire 3 ans que je n’ai rien écrits. Mais sachez que cela fait maintenant 2 ans que je récolte des informations afin de rendre cet article le plus juste possible (oui oui, je vous jure). Pourquoi 2 ans ? Car cela fait maintenant 2 ans que j’ai adopté mes deux furrettes: Kali & Lifi.

Et c’est à ce moment précis que vous fondez devant tant de mignonnerie… Je le sais, je suis passé par le moi aussi !

Le furret

Le furet est un animal récemment domestiqué, même s’il reste rare d’en voir en Europe (c’est totalement légal, je vous rassure.). Il a, par défaut, une nature très joueur et extrêmement curieux. Kali & Lifi n’ont pas échappé aux lois de la nature ! (On dit souvent que l’animal ressemble à son maître…)

Cette petite bête dort en moyenne 20 heures par jour et passe le restant de ses journées a semer le chaos partout ou il va. PAR-TOUT.

La curiosité et l’hygienne numerique

Au moins, avoir des furets chez soi vous apprend des tonnes de choses. Notamment à ne jamais laisser quoi que ce soit traîner. Sinon, ces petits diables iront rapidement le cacher quelque part dans votre maison (sous le lit, sous le canapé, derrière les meubles, etc.).

Ce premier point est intéressant, car on peut facilement le traduire dans le monde numérique sous forme d’hygiène numérique.

En effet, une chose que je rappelle souvent a mes proches est de laisser le moins d’informations personnelles en ligne. Cela peut vous paraître évident, mais chacune de ses infos peut être chopée par un furet numérique (autrement appellé “bot” ou “skid”) et emmenée dans un endroit sombre d’Internet pour y faire je-ne-sais-quoi avec. Ne pas laisser traîner ces affaires ! Restez propres et ne communiquez que le strict minimum sur les plateformes en ligne.

Authentification Multi-facteur

Il y a quelques mois, nous avions encore une cage pour Chinchilla afin d’y accueillir les deux tornades. Cette cage, bien que jolie, n’était pas totalement faite pour accueillir deux furets adultes (et les équipements qui vont avec).

Je me suis donc attelé à scier une partie de la cage afin de bricoler une porte plus grande et pouvoir faire passer les litières plus facilement. Un coup d’impression 3D, deux coups de scie et quelques vis plus tard, me voici avec une belle porte en bois bien intégrée avec la cage. Afin de refermer cette porte, un crochet lui aussi imprimé en 3D était positionné sur le côté de la cage.

Tout fier de mon bricolage, je range les furetes et vais me coucher. Quelle fut ma surprise quant au petit matin, j’ai vu Kali à mes pieds dans le lit, avec un regard plein de défiance en mode “Tu as bien choisi mon prénom” ! (Reference)

Le fameux regard

J’ai très vite compris qu’elle avait réussi à ouvrir ma porte DIY. Mais comment ? En l’observant plus attentivement, j’ai remarqué qu’elle avait trouvé le moyen de décrocher le crochet en se mettant sur le dos et en poussant avec ces pattes avant. Cela avait pour effet de soulever un tout petit peu la structure de la porte. Assez pour soulever le crochet lui aussi… Qui eut cru que les furets faisaient du développé couché durant la nuit ?

Mon ego ayant pris un gros coup, je me rends compte qu’une seule méthode d’authentification n’est pas assez. Tu as bien prouvé que tu savais quelque chose, mais je n’ai qu’à rajouter une méthode que “j’ai”.

À des fins de compréhension pour mes lecteurs non-techniques, voici un petit paragraphe explicatif.

Vous avez sûrement remarqué que la plupart des services en ligne vous demande, lorsque vous vous connectez, de rentrer un code envoyé par SMS ou email. C’est un mécanisme permettant d’ajouter une couche de sécurité à votre compte. On considère généralement plusieurs types de “facteurs” de sécurité:

On recommande généralement au commun des mortels de mettre en place deux types d’authentification, afin de mitiger partiellement les risques liés a la fuite de mot de passe.

Dans notre cas, Kali a exploité une vulnérabilité de mon système pour faire sauter mon premier verrou. J’aurais très bien pu changer mon verrou par quelque chose de plus robuste (un cadenas à code ou un antivol moto par exemple) mais cela en aurait fait patir mon confort au quotidien. Alors, j’ai tout bonnement rajouté un second crochet, qui maintient la porte bien collé à la cage à l’aide d’une cordelette. Pour défaire ce système, il faut avoir des pouces opposés et avoir un certain coup de main pour pouvoir le défaire. Je venais de configurer une méthode “avoir”.

Depuis ce changement, Kali a bien réessayé de faire un “sandbox escape”, sans succès !

Disclaimer: Ces exemples ne sont pas 100% représentatifs de la réalité dans les systemes numériques, mais ils s’en rapprochent suffisament afin de mettre en lumiere des similarités et en deduire une morale.

Mais alors, quelle leçon tirer de tout ça ? Toujours utiliser au moins deux facteurs d’authentification. Même si cela rend vos connexions aux plateformes moins simples, il en va de la sécurité de vos comptes.

Security by obscurity

Même si le concept de “Sécurité par l’obscurité” est considéré largement comme désuet, beaucoup d’organismes continuent de se reposer dessus afin de garantir un semblant de sécurité.

Dans le cas d’un attaquant informatique, trois facteurs sont tres importantes a considerer lorsque l’on veut creer un plan de defense:

Si un attaquant dispose de peu de temps, peu d’argent et que leur cible ne vaut pas grand chose, il y a fort à parier qu’ils ne se lanceront pas dans une attaque de grande envergure contre vous. Par contre, si ils ont du temps, un peu d’argent et que leur cible peut leur rapporter un peu de cash, il n’hesiteront surement pas.

J’aurai aimé vous dire que c’est pareil avec les furets, mais la réalité est différente. Dans le cas de ces tsunamis, ils ont:

Vous avez donc devant vous le pire ennemi potentiel de n’importe quelle équipe de défense informatique. Un adversaire infatigable et inarretable. Votre mission, si vous l’acceptez, va être de monter un système de sécurité afin de faire face à leurs attaques.

Les furrets ont tendances a gratter et creuser. Nos biens a proteger dans une maison sont principalement tout ce qui est fait de mousse et autre matériau mou. (Canapé, oreillettes de casques, etc)

Dans notre ère moderne, plus beaucoup de monde ne passe des heures a scanner l’intégralité d’Internet afin de rechercher des informations intéressantes… des scripts s’en chargent. Même si vous pensez avoir “caché” un fichier sur votre serveur web, un adversaire avec suffisamment de temps et de ténacité finira par le trouver. Il en va de même si vous avez des furets !

Il m’est arrivé plusieurs fois de trouver des choses, lors de tests d’intrusions ou autre, qui n’étaient “connus que de leur propriétaire, donc sensé être caché”. Dommage, vous êtes tombé sur un cyber-furret.

Moralité de l’histoire: Si vous voulez être sûr que personne d’autre que vous ne tombe sur quelque chose, protégez-le avec une authentification (mot de passe, par exemple) ou alors ne le mettez pas en ligne du tout.

Mettre sa barriere plus haute que les autres

Je me souviens encore de ce cours auquel j’ai assisté durant mes études. Notre professeur nous expliquait les fondamentaux de la sécurité informatique, d’un point du vue organisationnel. Il avait pour habitude de dire :

“Vous ne pourrez jamais avoir une sécurité parfaite. Néanmoins, vous pouvez toujours mettre votre barrière juste un peu plus haut que celle des concurrents. Les loups affamés s’attaqueront aux moutons de vos voisins plutôt qu’aux vôtres.”

Dans le monde informatique, les honeypots sont des systèmes permettant de tromper le pirate et lui faire croire qu’il vient de tomber sur un système très vulnérable. Ce système est en réalité conçu dans ce but, et toutes les actions de l’attaquant sont enregistrées et analysées.

Et c’est exactement ce que j’ai fait ! Rendre plus accessibles des jouets et distractions pour furet, et rendre plus compliqué l’accès aux zones a protéger. Même si elles ont énormément de ténacité et beaucoup de temps, le fait de rendre leurs jouets plus accessibles aide beaucoup à réduire les incidents.