Démystifier l'espionnage pour mieux protéger l'entreprise

Démystifier l’espionnage pour mieux protéger l’entreprise

Toutes les grandes entreprises possèdent une cellule dite de « veille concurrentielle ». Cette veille est vitale pour les entreprises et est tout à fait légale. Quoi de plus normal que de surveiller les nouveaux produits de ses concurrents ? Cependant, certains n’hésitent pas à passer la frontière qui sépare la veille de l’espionnage caractérisé. L’ouverture des entreprises à Internet ne fait que faciliter la tâche des espions modernes.

L’intelligence économique a toujours été partie prenante de la vie des états et des industries militaires, mais cette pratique s’est aujourd’hui diffusée au sein de toutes les entreprises.
Grandes ou petites, les sociétés qui possèdent des secrets de fabrication ou un capital immatériel stratégique peuvent être les victimes, et sans le savoir, d’une veille concurrentielle « intrusive ».
Les plans CAO, les futures campagnes marketing, mais aussi les bases de données des ressources humaines, les plans d’acquisition et les plans de licenciement doivent être précieusement protégés, car ce sont désormais des cibles de choix.

Qui sont les espions et à qui profite le crime ?
Beaucoup de sociétés se sentent protégées car il leur est difficile d’imaginer qui serait intéressé par les secrets de l’entreprise.
Pour répondre à cette interrogation, il est important de démystifier l’espionnage industriel. On ne croise pas plus de James Bond que d’agent de la DGSE rôdant dans les couloirs des PME françaises. L’espion peut être Monsieur Tout le monde, découvrant des données hautement confidentielles ; un stagiaire (cas récent [1]), un employé en conflit avec la direction, des syndicalistes avides d’informations croquantes.

Il n’existe pas de profil-type d’espion, mais ils ont un point commun : les informations volées ont une valeur pour eux. Cette valeur peut être simplement pécuniaire (revente de la base de prospection), mais également politique (plan de licenciement dévoilé avant l’annonce officielle, délit d’initiés, etc).

Pour savoir qui sont ses ennemis, il faut impérativement se poser ces questions : quelles sont les informations qui ne doivent pas être divulguées, et surtout, qui est en mesure de les voler et d’en tirer profit ?

Mais que cherchent-ils ?
Comme nous l’avons évoqué, les espions sont à la recherche d’informations valorisables. Pour être valorisable, l’information doit être complète, exacte et de première fraîcheur.
Inutile en effet de voler une partie d’une base de données ou des documents erronés. Les espions cherchent à obtenir l’intégralité des données, et à s’assurer qu’elles sont valables.
Les informations volées doivent être fraîches. Un ancien projet de 1997 récupéré sur un vieux disque dur n’aura aucune valeur à leurs yeux.

Autre point important : l’espion est la recherche d’une source d’information continue, une source régulièrement mise à jour sur laquelle il peut fréquemment venir se servir.

La question que l’entreprise doit donc se poser est : Où peut-on trouver des fichiers importants, consolidés et toujours à jour ?

Où ces espions peuvent-il venir voler nos secrets ?
Finis les tiroirs et les coffres fermés à clé. Aujourd’hui, toutes les informations sont informatisées, et les espions modernes connaissent les failles des systèmes d’information.

Dès lors, un grand nombre de possibilités s’offrent à eux. Les serveurs de fichiers sont protégés par des mots de passe, les bases de données sont chiffrées : où peut-on voler de telles informations ?
Les cibles de choix des espions sont :

Les systèmes de sauvegarde : Les serveurs de fichiers sont régulièrement sauvegardés , mais ces sauvegardes sont généralement peu ou pas sécurisées, et parfois dénuées de système d’habilitation. Elles sont une cible de choix pour les espions cherchant à accéder « tranquillement » à des informations.
L’externalisation des sauvegardes apportent encore d’autres problèmes de sécurité.

Les partages de fichiers des postes de travail : Si les serveurs de fichiers sont sécurisés, il est courant de trouver des postes de travail qui partagent localement des répertoires, voire tous les fichiers (partage « C$ »). Les ordinateurs de la direction sont ainsi des postes de choix pour les espions.
(Voir encadré « La null-session existe toujours »).

Les imprimantes partagées : Les imprimantes réseaux sont des cibles privilégiées pour les espions. Elles sont facilement identifiables sur le réseau (avec SNMP et Netbios), et leur nom ainsi que leurs propriétés SNMP permettent de connaître leur emplacement physique. Ainsi, il est facile de trouver précisément l’imprimante utilisée par la direction ou la DRH. Les espions pourront alors récupérer à distance les documents en file d’attente. Les documents volés sur des imprimantes répondent parfaitement aux besoins des espions: ce sont des données intègres, fraîches et à jour.

La sécurité des imprimantes multifonctions est un sujet d’actualité. Des failles commencent à être découvertes, comme récemment sur Lexmark (Bugtraq, février 2006 [2]).

Les interfaces Wifi : La majorité des ordinateurs portables intègrent de facto une interface Wifi. Il est possible de court-circuiter les protections du réseau de l’entreprise en établissant une connexion d’égal à égal avec un ordinateur Wifi. Et si le possesseur du portable n’a pas pris garde à configurer son firewall personnel, cela devient un moyen d’accès intéressant pour les espions.

Les ERP « Web » : La tendance est à la mise en ligne des systèmes ERP. Cette tendance, très pratique pour les entreprises avec des travailleurs nomades, ouvre une brèche potentielle pour les espions. S’ils possèdent des compétences en hacking ou s’ils se procurent le mot de passe d’un utilisateur de l’ERP, ils extrairont habilement des informations de valeur.

Faut-il que l’espion soit en interne ?
C’est bien sûr ce que l’on pense immédiatement. Mais les espions ne sont pas nécessairement en interne : ils peuvent utiliser un agent d’intrusion (voir encadré « Les logiciels espions »). C’est un petit logiciel de type Spyware qui doit préalablement être installé sur un poste interne de l’entreprise. Cet agent effectue une connexion appelée « call-home » : il se connecte depuis l’entreprise à la machine de l’espion. Les protections de l’entreprise sont contournées et les espions disposent d’un véritable pont entre Internet et le cœur de l’entreprise. Toute la difficulté réside dans l’installation discrète de l’agent, mais au vu du nombre impressionnant de spywares qui s’installent grâce à Internet Explorer, un tel scénario est tout à fait possible.

Pour ceux qui douteraient encore du risque engendré par les logiciels espions, se reporter à la récente affaire Sony [3] ou à l’affaire Heprati [4].

Comment se protéger ?
Etant donné qu’il n’y a pas de guérison possible au vol de données, il faut insister sur la prévention. Les systèmes de sécurité sont souvent contournables, cependant certaines précautions simples permettent à l’entreprise de protéger au mieux son patrimoine informationnel.

Trois idées maîtresses sous-tendent cette prévention : Diviser pour mieux régner, Know Yourself et Know Your Ennemy.

« Diviser pour mieux régner » : La première précaution est d’éviter au maximum de mettre l’intégralité du patrimoine de l’entreprise sur un seul serveur. Bien que ce comportement soit tentant du point de vue administration, l’espion qui trouvera un moyen d’accéder à cette base possédera l’ensemble des données.

Comme nous l’avons vu précédemment, l’aspect « complet » des données leur donne une valeur marchande incontestable. L’inverse est également dangereux. L’explosion du nombre de serveurs de données devient alors dans le temps une source de problèmes pour la sécurisation des ressources.

Il est possible d’imaginer une granularité à 4 niveaux. Chaque niveau hérite des propriétés du niveau inférieur.

Niveau 1 : Documents internes sans grande valeur. Les serveurs de niveau 1 sont accessibles par l’ensemble de l’entreprise, mais implémentent des comptes nominatifs et un système de traçabilité.

Niveau 2 : Documents réservés aux équipes d’encadrement. Ces serveurs sont accessibles depuis l’ensemble du SI, mais bénéficient d’une vigilance accrue en terme de mise à jour et de gestion des habilitations. Les comptes doivent pouvoir être bloqués rapidement et un inventaire des comptes doit faire l’objet d’une procédure interne.

Niveau 3 : Documents réservés au Top-Management. La maintenance de ce serveur est uniquement réalisée par une ou deux personnes du service informatique. Le nombre d’utilisateurs est très restreint. L’ajout d’un nouvel utilisateur doit être validé par la direction et faire l’objet de la signature d’un accord de confidentialité. Les sauvegardes sont chiffrées et la clé est connue uniquement de la direction générale.

Niveau 4 : Documents de la direction générale. Ce serveur n’est accessible que depuis des postes identifiés par leur adresse IP. La sauvegarde est effectuée manuellement par des personnes de confiance et stockée directement au coffre.

« Know Yourself » : Pour protéger son patrimoine informationnel, l’entreprise doit le connaître. Un inventaire des serveurs contenant des informations critiques doit être effectué (voir « Diviser pour mieux régner »), les données et les habilitations doivent être urbanisées (utilisation des annuaires unifiés), les risques classifiés et la sécurité testée. Les audits de sécurité et les tests d’intrusion internes sont un très bon point de départ pour l’entreprise pour mieux cerner le niveau d’exposition de leurs données et établir un plan d’action.

«Know Your Ennemy» : Il faut comprendre où et comment un espion peut chercher à voler des données de l’entreprise. Ainsi, les responsables de la sécurité pourront mieux cibler leurs efforts de sécurisation, aussi bien en terme de correctifs que de renforcement des configurations. Un inventaire précis et le filtrage des flux entrants et sortant (voir Encadré « Les logiciels Espions ») doivent également être effectués minutieusement.

Une question d’organisation
Avant d’exploiter d’éventuelles failles techniques, les espions exploitent les failles de l’organisation. Les grandes et petites entreprises doivent connaître leurs secrets et les protéger correctement. Pour cela, une bonne organisation autour de la protection des données sensibles est primordiale.

Le marché des logiciels de sécurité sur ce sujet est naissant. Des solutions de filtrage commencent à apparaître. Elles sont généralement basées sur la détection de documents sortant de l’entreprise. Mais sans une discipline drastique de TAGGING de données et donc d’organisation, ces solutions ne peuvent être efficaces.

« La null-session existe toujours »
La null-session la faille préférée des espions ».

La null-session est une faille très connue par les informaticiens.

Il s’agit d’une fonctionnalité de Microsoft Windows permettant de partager facilement des fichiers de son ordinateur sans aucun mot de passe.En utilisant un scanner de partage de fichiers (ici GFI Languard) et en exploitant la null-session, un espion découvre très rapidement les partages oubliés par les utilisateurs.La capture ci-contre illustre l’utilisation d’un scanner de partage : l’ensemble du réseau est parcouru automatique et les partages disponibles sont affichés.

L’espion découvre alors le partage appelé « marc » sur l’ordinateur Vaiomarc. Avec un simple double-clic, le contenu du répertoire partagé est affiché et des fichiers sensibles peuvent être copiés.

Cette faille n’a jamais été retirée du système Windows, car il s’agit d’une fonctionnalité très pratique, mais qui devient très dangereuse si l’utilisateur ne prend pas garde à ce qu’il partage.

« Les logiciels Espions »
Les logiciels espions utilisent les techniques de tunneling http pour établir un canal de communication depuis le poste de travail infecté vers la machine de l’espionLe schema ci-dessous illustre le principe de fonctionnement du canal de communication.

Dès la connexion de l’agent à sa machine, deux canaux sont ouverts : un canal http-GET pour les flux descendants (dans une réponse 200-OK infinie) et un canal http-POST pour les flux montants.Une fois un tel agent installé, l’espion se comporte comme s’il était en interne. Plusieurs tunnels sont alors ouverts : des connexions Citrix ou TSE, des sessions sur les serveurs de fichier, des keyloggeurs ou encore des sniffers de mots de passe.Cette technique n’est pas réservée aux pirates. Il est possible de citer l’excellent logiciel de maintenance GotoMYPC qui utilise cette technique.

Webographie

[1] L’Affaire Valéo : « Valéo : la menace venait de l'intérieur »
http://www.vulnerabilite.com/actu/20050503102223espionnage_valeo.html

[2] Faille du driver de partage d’imprimante Lexmark publiée en Février 2006.
http://seclists.org/lists/bugtraq/2006/Feb/0104.html

[3] : L’Affaire Sony CD DRM : Un rootkit était présent sur les Cdrom Sony. Sony a confirmé l’information. « Sony Secretly Installs Rootkit on Computers » par Bruce Schneier http://www.schneier.com/blog/archives/2005/11/sony_secretly_i_1.html

[4] L’affaire Heprati. L'économie d'Israël ébranlée par un logiciel espion.
http://www.lexpansion.com/art/32.0.132415.0.html

Xmco Partners est un cabinet de conseil en sécurité informatique, spécialiste du test d'intrusion dans le cadre des applications e-Business. Cet article a été rédigé par Frédéric Charpentier, consultant en tests d'intrusion au sein du cabinet Xmco Partners pour l'édition papier du magazine Mag Securs, Le Magazine Européen de la Sécurité Informatique.