Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Le témoignage de Pierre Paperon, ancien dirigeant de Lastminute.

« C'est une situation qui peut arriver à chacun d'entre nous, dirigeant ou simple manager d'entreprise. Je l'ai vécu il y a dix ans.
Nous sommes en mai 2004. J'ai rejoint Lastminute il y a un an. Je reçois un appel un jeudi matin d’une des responsables d’Amadeus (un des 3 systèmes mondiaux de réservation et émission de billets d'avion notamment ou "GDS", Global Distribution System). Elle me signale quelque chose d’étrange : la société Continental Airlines a vu arriver la veille quatre personnes à l’aéroport d’Honolulu et leur billet pour Atlanta avait été annulé sans qu’ils l’aient demandé ni qu’ils aient été avertis. L’opération d’annulation ayant été faite sur la plate-forme de réservation, les autorités américaines se sont tournées vers l’opérateur français qui vient d’être introduit en bourse à Madrid. Surprise de leur part en regardant en détail l’opération, celle-ci a été réalisée depuis un terminal localisé au sein de notre équipe de réservation, sur les Champs-Elysées, qui émet aussi les billets avant remise au guichet ou bien envoi par courrier. Mais encore plus grande surprise quand ils ont découverts qu’un mot avait été laissé dans l’espace commentaire réservé aux opérateurs de saisie : « Al Qaida Hacking Systems ». 
Je me tasse sur mon siège.

Un opérateur brillant, vif, rapide.

« Mais c’est grave ce que vous me dites là ! Avez-vous un numéro pour connaitre le terminal précis depuis lequel la manip a été fait ? 
– Oui, c’est la machine taguée 21 chez vous. 
– OK, je me renseigne et vous rappelle sur le numéro affiché ».
Et je raccroche aussi sec. Appel de mon directeur des opérations, qui me donne le nom de l’opérateur. Appelons-le Hicham. D’origine marocaine, embauché depuis 6 mois après un stage de 2 mois dans le cadre d’une formation du CNAM. Brillant, vif, rapide. Le bon élève. Je rappelle Amadeus après avoir donné toutes les consignes de discrétion totale. Amadeus connaît Hicham car ils l’ont formé il y a 3 mois. Eux aussi l’ont trouvé brillant et avec une capacité étonnante à absorber toutes les informations de programmation et d’automatisation, en plus de la maîtrise des règles de sécurité inhérentes à des systèmes mondiaux comme ceux-là. Amadeus me remercie et me demande de ne rien faire. Soit. Je pose la question tout de même sur l’information des autorités quant à ce qui se passe. Ils prennent tout en charge. Soit bis.
Je suis au CNAM, aussi, pour devenir psychologue du travail en cours du soir (et du week-end…). J’en profite pour appeler l'administration de l'école et me renseigner tout de même sur Hicham et son parcours. Une sueur froide me coule dans le dos. Hicham est en train de finaliser une thèse d’informatique dans le cadre d’une maitrise. Mais pas une thèse classique. Une thèse sur les nouvelles techniques de hacking. Je raccroche un peu perdu avec cette nouvelle information. Je me calme. Nouvel appel d’Amadeus en fin d’après-midi qui m’informe que l’animal sévit depuis 6 mois et qu’ils ont dénombré 142 changements de billets, des annulations ou bien des remplacements de passagers… 
Je leur annonce la nécessité de porter plainte. De laisser l’accès à Hicham pour ne pas éveiller ses soupçons et permettre à la police de le serrer sur son lieu de travail ou chez lui. Mais ils ne veulent pas faire de bruit. Ils viennent de s’introduire en bourse et pourrait faire perdre une bonne partie de la valeur de 4 milliards d’euros qu’ils représentent à ce moment-là. Soit ter. Mail simple envoyé aux dirigeants du groupe pour les prévenir de ce qui se passe. Pas de réponse pendant cette journée alors que la réactivité habituelle est de 10 minutes'. 

 

Le sujet est « touchy », normal d'être seul…

Mauvaise nuit. Très mauvaise même. Car la logique combinatoire et mon imagination m’amène à penser que l’application de sa thèse est évidente. S’il est arrivé à entrer aussi facilement dans le système sans se faire prendre depuis 6 mois, il lui a été possible de définir des routines qui sont autant d’automates de réplication de ce qu’il a fait à la main pour faire la démonstration de son savoir à d’autres. Autrement dit, il peut très bien demain lancer des automates qui vont annuler à la volée des milliers, des dizaines de milliers, des centaines de milliers de billets. Chaos mondial assuré. Une sorte de cyberterrorisme à un endroit où on ne l’attend pas. Pas de mort d’hommes mais morts économiques de compagnies certainement. Mais « Mort d’hommes » m’alerte sur une autre direction possible pour lui : faire monter à bord n’importe quelle personne dotée de faux papiers. Le dispositif de black list mis en place par les US pour filtrer l’entrée aux Etats-Unis suite aux attentats du 11 septembre peut être contourné par le savoir-faire d’Hicham. Et utilisé à fortiori pour faire monter des kamikazes dans des avions. La décision est prise.
A 9h ce vendredi matin, je suis à la BEFTI (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information), Porte d’Italie, pour déposer plainte et signaler toutes les infos. Ma conscience est maintenant claire. L’entreprise est couverte en cas de problème. J’ai transféré le problème que je vis comme le mien à des autorités dotées de moyens d’actions presque infinis. J’arrive soulagé au travail. Fureur de Amadeus quand je leur apprends cela car ils ont peur des fuites. Dans le même temps ils m’apprennent que le FBI est maintenant sur l’affaire et qu’ils ont des comptes à rendre. Une réunion avec mon directeur des opérations m'indique que Hicham ne s'est pas contenté d'une formation de niveau 1 de la part d’Amadeus mais est allé au niveau 2 qui est réservé aux opérateurs internes de cette société car elle donne accès à des niveaux de sécurité largement plus étendus. Mais c’est au tour de la maison mère de réagir enfin et de m’appeler pour me demander de faire ce qu’Amadeus demande, à savoir ne parler à personne de l’affaire. Nouvelle fureur de la DRH et du fondateur quand ils apprennent que j’ai porté plainte le matin. Malgré toutes les bonnes raisons pour le faire comme la protection de nos clients, de la marque Lastminute en montrant notre réaction immédiate et, surtout, de millions de personnes exposées aux conséquences de cette faille béante… Eux aussi ne voient que l’impact potentiel financier sur le cours boursier de Lastminute.com… qui est bien loin de ma préoccupation d'éviter un second 11 septembre. 

Personne ne réagit

Lundi matin, Hicham est toujours là, dans les locaux. Je lui dis bonjour comme à tous les collaborateurs. Je téléphone à mon interlocuteur à la BEFTI qui me répond, un peu énervé par cette relance, qu’ils s’en occupent. Pas de nouvelle pendant toute la journée. Je me renseigne le soir pour trouver le nom du procureur de la république en charge de l’antiterrorisme. J’appelle. Il s'étonne que j'aie son portable. Il me demande mon nom et mon numéro pour me rappeler 15 minutes plus tard. Je lui expose la situation. Question très agressive :
« J'ai bien votre dépôt de plainte et la relance de la BEFTI. Qu’est-ce qui vous fait dire que les autorités ne font rien ?
– C’est le fait qu’il y ait toujours en liberté dans mon entreprise quelqu’un qui a accès à un système informatique lui permettant d’annuler toutes les places d’avion des deux prochains mois et de faire monter les terroristes de son choix dans l’avion de son choix.
– Ah, en effet… oui… vu comme cela. Je regarde ça. Merci ».
J’apprendrai le lendemain que Hicham n’est pas venu au travail mais j’apprendrai aussi l’après-midi que les policiers venus le serrer chez lui le matin même ont découvert que l’oiseau ne nichait pas à cet endroit-là et que le traçage de son portable ne donnait plus rien. 
Cette histoire a exacerbé les tensions avec la maison mère anglaise de  Lastminute. Je signale que je ne peux pas cacher ces différents éléments, notamment ce hacking sur lequel le FBI, tout de même, a travaillé. 
On me demande à nouveau de me taire. 
Au revoir Lastminute. » 

Autres Dossiers Protection des données