Un article de HackaWiki.

Sommaire 1 Les entreprises et le hacking 1.1 Comment les entreprises perçoivent le hacking ? 1.2 Comment les entreprises sont-elles structurées pour anticiper le hacking ? 1.2.1 Les petites entreprises 1.2.2 Les moyennes entreprises 1.2.3 Les grandes entreprises 1.2.4 Les très grandes entreprises 1.3 Comment les entreprises s’organisent face au hacking ? 1.4 Comment aborder philosophiquement une entreprise ? 1.5 Vivre avec son temps

Les entreprises et le hacking

Résumé de la conférence de Charles-André Roh lors de la Nuit du Hack, le 23 octobre 2004 à Verdun-sur-Garonne.

Comment les entreprises perçoivent le hacking ?

Bien des entreprises ont tendance à faire du hacking, un splendide package confondant les hackers, les différents intrus et parfois… les erreurs d'application Windows ! Il existe pourtant une importante différence entre les hackers et les intrus. Les entreprises qui ne sont pas capables de connaître ou reconnaître ces différences partent avec un sérieux handicap dans la course à la sécurité. Quant à celles qui attribuent, au hacking, certains disfonctionnements d'applications Windows, elles n'ont même plus besoin de se présenter sur la ligne de départ, car la course est déjà perdue pour elles.

Par contre, d'autres entreprises prennent conscience de la situation et font même la différence entre le cracking et le hacking. Cette différence étant de taille dans le domaine de la prévention, elles anticipent ainsi de manière adaptée et les résultats sont quantifiables. Malheureusement, une majorité d'entreprises n'ont pas encore cette vision et, par méconnaissance, rejettent leurs faiblesses sur les hackers. C'est une échappatoire efficace mais qui ne règle toutefois pas leurs problèmes.

Ce sont bien souvent ces mêmes entreprises qui trouvent les hackers stupides. Il est vrai que parmi les hackers, il n'y pas nécessairement que des Prix Nobel et certains n'ont pas inventé l'eau chaude, mais ils existent et il faut faire avec !

Ce sont ces mêmes entreprises qui affirment que les hackers n'apportent aucune valeur ajoutée à la société. Et pourtant, au même titre que, sans la pluie personne n'aurait inventé le parapluie, ce sont les hackers qui font évoluer la sécurité informatique. La réalité économique le démontre.

On comprend, dès lors, que les entreprises perçoivent très mal le hacking, car il génère deux effets spécifiques.

Le premier est celui de la réaction. Le hacking déstabilise le responsable informatique qui doit résoudre, précipitamment, un problème dont il ne maîtrise, dans un premier temps, ni les motivations, ni les buts, et encore moins les moyens mis à disposition. Pressé par la direction pour apporter rapidement une réponse, il a une chance sur trois de répondre juste. La plupart du temps, il tape à côté, et ses compétences techniques sont très vite mises en doute. Par effet de cascade, l'information, descendra au niveau des collaborateurs, des clients et des fournisseurs. Il n'en faudra pas plus pour créer un effet d'insécurité dans une entreprise.

Le deuxième effet est celui de l'acceptation. La direction doit accepter de se remettre en question au niveau de la communication interne. Le hacking amène la hiérarchie à devoir communiquer convenablement avec les collaborateurs, dans ce domaine, pour conserver leur confiance. Les entreprises doivent enfin accepter de connaître parfaitement le patrimoine informatique et prendre des mesures pratiques de sauvegarde. Je ne parle pas des audits "alibis" coûtant des sommes faramineuses destinés uniquement à rassurer certaines entreprises, mais de mesure concrètes, simples, peu onéreuses et efficaces.

Mais ces mesures obligent les entreprises à voir la réalité en face, et parfois la réalité n'est pas toujours bonne à voir. Elles disent alors que les hackers sont des méchants ! Mais comment traiter de méchants, ceux qui permettent, gratuitement, de se remettre en question. C'est en fait un cadeau !

Comment les entreprises sont-elles structurées pour anticiper le hacking ?

On peut, sommairement, cataloguer les entreprises en quatre types de structures.

Les petites entreprises

Ces petites entreprises sont pratiquement toutes dépendantes d'un seul et unique patron qui doit faire face à de multiples soucis tels que le management, la production, la vente et la sécurité de l'information. Bien souvent, ce patron fonctionne comme administrateur de réseau. C'est souvent un passionné qui connaît très bien les failles des systèmes et qui pourra réagir rapidement. Toutefois, il ne partagera pas ses connaissances avec ses collaborateurs et son entreprise devient très vulnérable durant ses vacances et ses absences.

Ces entreprises ne sont pas structurées pour anticiper le hacking. Leur seule structure s'appelle: la chance.

Les moyennes entreprises

Ces entreprises disposent généralement d'un responsable informatique compétent. Toutefois ce dernier a des rapports professionnels directs avec la direction, au détriment de relations plus ouvertes avec les utilisateurs.

Les concepts mis en place dans le domaine de la sécurité de l'information sont souvent des concepts très théoriques plaisant à la direction mais peu acceptés par les utilisateurs. Les failles humaines sont très nombreuses et la sécurité est faible.

Les grandes entreprises

Mêmes considérations que pour les moyennes entreprises, à la différence qu'il ne s'agit plus d'un responsable informatique mais d'une équipe. Et c'est justement là que se pose le problème.

Cette équipe est submergée de travail (help desk, interventions, développement, etc…) et la productivité informatique sera exigée avant la réalisation d'une véritable politique de sécurité.

Enfin, il faut savoir que les utilisateurs ne sont pas toujours très appréciés par cette équipe informatique, car ils ont une fâcheuse tendance à poser des questions tellement stupides…

Les très grandes entreprises

Elle disposent, la plupart du temps, de plusieurs directions, toutes performantes dans leurs domaines, mais rarement homogènes quant il s'agit d'anticiper un problème ne les concernant pas directement.

Ces mêmes entreprises disposent également de plusieurs départements informatiques, souvent scindés. On trouve la technique informatique, le développement et la sécurité. La sécurité informatique est de plus, souvent dépendante de la sécurité générale de l'entreprise.

C'est alors la guerre des clans et rien n'est maîtrisable. Les failles sont multiples et mettre en place un concept de sécurisation face au hacking devient un véritable casse tête.

Ces très grandes entreprises sont certainement celles le moins bien organisées dans ce domaine, faute de manque de collaborateurs capables d'anticiper et souvent faute de discernement dans l'attribution des budgets financiers

Les remarques concernant ces quatre types d'entreprises sont basées sur des expériences vécues. Il ne s'agit nullement de critiquer gratuitement mais bien de démontrer qu'aucune entreprise n'est, à l'heure actuelle, équipée matériellement et humainement, pour faire face au hacking.

N'oublions pas qu'un hacker est comparable à un snipper et qu'aucune armée n'a trouvé une solution pour se protéger massivement contre ce type d'adversaire. Un hacker pourra toujours, je dis bien toujours, pénétrer un réseau informatique alors qu'une entreprise ne pourra jamais garantir l'inviolabilité de ses systèmes.

En clair, les entreprises ne peuvent pas anticiper le hacking.

Comment les entreprises s’organisent face au hacking ?

Il y a plusieurs manières de s'organiser face au hacking.

La plus courante demeure bien entendu la peur. De grandes théories de sécurité sont développées et présentées et des achats de matériel informatique sont en général empressés et conséquents. Souvent les collaborateurs ne sont même pas concertés et tout ce fabuleux concept s'étiole pour tomber très rapidement dans l'oubli. Et le jour où un intrus pénétrera le réseau, les responsables de la sécurité trouveront toujours une excuse pour justifier leur incompétence. Ce genre d'entreprise est le pigeon idéal pour le hacker débutant.

Un autre manière, très prisée dans les pays devant recycler des militaires de carrière, consiste à trouver un colonel à la retraite, et de lui proposer un poste de responsable de sécurité. Ce colonel fera un excellent travail. Il blindera de manière parfaite le bâtiment et ses accès. Il en fera une véritable forteresse sur la base de ses connaissances acquises sur le terrain des opérations. Malheureusement, il aura beaucoup de peine à accepter que pour attaquer une entreprise, on ne fait plus appel à un char d'assaut, mais d'un simple modem branché sur une tout aussi simple ligne téléphonique.

Le fatalisme est une autre manière de voir les choses, C'est un peu du style: "on est hacké.. on fait avec; on n'est pas hacké.. on fait sans". C'est une bonne façon de voir les choses. Pas cher, pas stressant, et surtout pas trop contraignant pour la direction qui cautionne cette manière de faire. Par contre, le jour où elle passera fois à la caisse, elle comprendra très vite le tarif.

Dans l'ensemble, les entreprises ont les moyens d'acheter du matériel pour lutter contre le hacking mais rarement les compétences pour sensibiliser les collaborateurs.

Enfin, il reste la manière professionnelle et ces entreprises ne sont pas nombreuses. Elles font toutefois un travail. Elles attendent les hackers avec sérénité, tout en étant conscientes que les bons hackers auront le dernier mot. Le concept est basé sur la formation et l'utilisation spécifique de mots de passe, la sensibilisation des utilisateurs, d'un formidable esprit d'entreprise et, surtout, de moyens de contrôle.

Ce sont, à ce jour, les seules entreprises qui sont fiablement organisées face au hacking. Les hackers ne devraient pas s'y frotter car, pour eux, c'est une perte de temps.

Comment aborder philosophiquement une entreprise ?

Hacker est une chose, mais hacker avec intelligence en est une autre.

Personne ne peut empêcher un hacker de pénétrer un réseau. Seuls ses capacités et ses connaissances peuvent limiter les dégâts. Mais à part ça, les hacker font, et feront toujours ce qu'ils veulent, selon leur conscience.

Il existe plusieurs sortes de hackers. Les enfonceurs de portes ouverts à qui on pourra user de tous les moyens pédagogiques pour leur expliquer la situation, mais qui ne comprendront jamais rien. Oublions-les et ne perdons pas de temps avec eux car ils font partie des mauvais (NAC).

Il existe aussi ceux qui désirent partager leurs connaissances, passer de « Newbie » à « Elite », réaliser un exploit ou tout simplement apprendre un métier sans trop user les bancs d'école.

Que ceux-ci pensent, avant de tenter la visite du réseau d'une entreprise, aux points suivants :

• Avoir un but précis
• Préparer sa démarche uniquement en fonction du but déterminé
• Définir les conséquences de cet acte pour l'entreprise
• Définir les risques de cet acte pour soi même

Se souvenir aussi que, qu'elle que soit la cible, on la croisera toujours, un jour ou l'autre. Une fois, c'est en se promenant dans un parc public, une autre fois dans un transport en commun ou dans un café. Mais la plupart du temps, c'est au Tribunal qu'on la croisera ! Et là, il est difficile d'expliquer au juge que "mes parents m'ont offert un ordinateur quand j'étais tout petit et que c'est de leur faute si je l'ai utilisé pour…"

Enfin, si vous devez absolument effectuer une intrusion, faites-le avec un maximum de classe et un minimum de casse. N'entrez pas avec vos grands pieds, en cassant tout au passage, pour aller stupidement "flager" une page Web.

On n'est plus au Moyen-âge et Mad Max n'est pas encore aux portes de nos villes. Soyez plus subtils.

Vivre avec son temps

L'époque où les entreprises engageaient des hackers pour leurs performances, est pour ainsi dire révolue. Le nombre des hackers augmente de manière régulière, alors que le nombre d'entreprises susceptibles de traiter avec ces derniers, a tendance à diminuer.

Dans ce marché où la demande est inférieure à l'offre, seuls les bons hackers, sur le plan technique et surtout le plan de l'éthique, pourront se démarquer à l'avenir.

Si vous voulez hacker, faites-le correctement, car un jour vous serez très certainement reconnu et jugé sur la qualité des vos exploits passés. De plus, cela ne vous coûte rien et vous permet surtout de vous distinguer des nuisibles. Enfin, s'il est clairement démontré que les entreprises ne sont pas encore prêtes à lutter à armes égales avec les hackers, ce n'est pas une raison pour tirer sur l'ambulance.

Si une entreprise hackée devait fermer ses portes et licencier des collaborateurs par votre faute, comment iriez-vous expliquer à ces chômeurs que c'était vous le hacker ?

C'est aussi ça vivre avec son temps !