La multiplication des menaces logicielles (troyens, phishing, pharming, botnet) a focalisé l´attention des responsables de la sécurité de l´information sur les solutions logicielles.

Il est indéniable que cette forme de malveillance exploitant les failles de sécurité logicielles ou les défauts organisationnels (mots de passe faibles, formation des utilisateurs) est la menace la plus sérieuse. En particulier, il faut souligner que cette forme de délinquance à distance est difficilement répréhensible du fait de l´anonymat relatif des auteurs, parfois de leur irresponsabilité, enfin du fait de la distance elle-même qui rend la réponse tardive ou en dehors des compétences juridictionnelles. L´information peut cependant être l´objet d´attaques beaucoup plus directes mais bénéficiant du même niveau d´anonymat. La mise en place d´une salle confidentielle faradisée permet de se prémunir de ces attaques ciblées.

Protection contre les écoutes sonores :
Salles du board, salles informatiques, salles de R&D, salles de conférence : l´écoute sonore peut être réalisée à l´aide de dispositifs stéthoscopiques appliqués contre les murs extérieurs. Ces dispositifs retransmettent sur une fréquence ISM libre avec des portées allant de quelques dizaines de mètres, à plusieurs centaines de mètres. Le coût de ce type de dispositif varie de quelques dizaines à quelques centaines d´euros. Plus chers et destinés à des organisations réellement motivées, les dispositifs laser qui reproduisent les vibrations sonores sur les vitres d´une salle peuvent s´acquérir pour environ 10 000 Euros. On trouve également des microphones hautement directifs capables d´amplifier une conversation à 200 mètres environs. Le traitement consiste à placer un isolant sonore (matériaux peu dense) dans les cloisons et à utiliser un double vitrage pour les fenêtres.

Protection contre les micros-espions, caméras-espions.
On peut trouver aisément des micros-espions et caméras-espions de la taille d´une tête de vis à monter soi-même ou directement opérationnels sur Internet pour quelques dizaines à quelques centaines d´euros. La transmission peut se faire soit sur fréquence ISM libre ou sur câble en clampant le dispositif sur les fils qui assurent par là même l´apport en énergie au système et évitent l´utilisation de piles. Signalons l´existence de dispositifs mémorisant puis transmettant l´information sous forme compressée en rafale pendant un temps très court et en diversité de fréquence, ce qui les rend quasiment indétectables !!!
On se méfiera également de l´utilisation de dispositifs de type keyghost. Insérés sur le cordon du clavier, ils peuvent mémoriser plusieurs millions de touches frappées. Les données sont soit mémorisées et récupérées par l´utilisateur indélicat, soit radio transmises. Coût du dispositif : une centaine d´euros.

Technologie au quotidien

Mais ces gadgets sont rudement concurrencés par des outils plus quotidiens et anodins. Nos téléphones portables activés en décroché automatique et en inhibant sonnerie et vibreur font tout à fait l´affaire. Il aura pu être « oublié » dans un tiroir ou dans un faux plafond !!!
Que dire des micros HF utilisés par tous les conférenciers du monde et qui peuvent être aisément captés à 100 mètres ? Mais, il convient également de se méfier des réseaux de micros câblés des salles de conférences traditionnelles qui peuvent également être « buggés ».
La technologie sans fil appliquée de plus en plus largement va multiplier les failles de sécurité : oreillettes, casques Bluetooth, réseau WI-FI ...Elle suscite déjà une abondante littérature à la hauteur des interrogations qu´elle pose aux responsables de la sécurité informatique.

Salle faradisée confidentielle :
Utilisée depuis longtemps par les militaires, la salle faradisée, qui empêche la propagation des ondes radios rayonnées par son enveloppe métallique et des ondes conduites sur les câbles par l´utilisation de filtres sur tous les conducteurs franchissant cette enveloppe, constitue une solution adaptée à la protection des informations confidentielles. Elle constitue également une solution adaptée contre les perturbations électromagnétiques extérieures (antennes de radiodiffusion, émetteurs de téléphonie) parfois sources de bugs « inexpliqués ».
Les technologies employées de nos jours, tapisserie métallisée, fenêtres faradisées translucides permettent de conserver l´habitabilité normale d´une pièce (luminosité, atmosphère agréable) contrairement aux « bunkers » faradisés du passé, effaçant ainsi le principal reproche qui leur était fait. L´utilisation d´une salle faradisée, associée à un contrôle d´accès efficace, permet de créer un véritable sanctuaire pour les informations confidentielles.

Troie avait (aussi) des murailles...

La protection contre les invasions logicielles ne doit pas faire oublier la protection physique des informations. Les dispositifs décrits ci-dessus sont tous aisément disponibles et il n´est pas nécessaires de connaître personnellement mister Q pour se les procurer. La sécurité logicielle lance des défis élevés à l´intelligence quand la sécurité physique n´évoque que le blindage et les vigiles. Le responsable de la sécurité de l´information saura éviter l´erreur de négliger les dispositions pouvant paraître triviales par rapport aux mesures logicielles, certes indispensables, mais qui ne suffiront pas à elle seules à répondre au défi de la sécurité de l´information. Sans verser dans une paranoïa exagérée, toute entreprise dont l´information constitue un enjeu majeur et vital, devrait posséder une salle de conférence protégée contre les écoutes. De même, les serveurs informatiques, les postes de CAO, de cette entreprise devraient être protégés contre l´évasion électronique d´information et contre les agressions électromagnétiques extérieures.



Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145199
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire