Il y a un mois ou deux, j’avais une discussion avec un médecin sur des maladies obscures — communément appelées zèbres. Alors que j’envisageais ces zèbres dans le contexte de stratégies d’exploration de données efficaces pour le diagnostic médical, il a fait un point intéressant. L’une des choses qu’ils enseignent aux nouveaux médecins est la phrase « Quand vous entendez des sabots, pensez au cheval, pas au zèbre. »Le principe est assez simple — il y a de fortes chances que le patient ait le diagnostic le plus courant qu’un diagnostic rare et improbable. Un exemple simple mais illustratif serait le suivant (volé à un membre de la famille d’un médecin):
Une patiente adolescente présente des antécédents de maux de tête, de fatigue et de fièvres intermittentes pendant trois semaines, mais était historiquement en bonne santé. L’examen physique était banal et mis à part les fièvres occasionnelles, le seul symptôme à noter était qu’elle était de couleur pâle. Le zèbre aurait pu être une méningite ou une tumeur au cerveau – et le praticien inexpérimenté commanderait des milliers de dollars de tests et soumettrait le patient à plusieurs procédures. Mais une numération formule sanguine de routine a montré qu’elle était simplement anémique – le cheval – et avait juste besoin de fer supplémentaire. La règle : Pensez cheval sans exclure les zèbres.
Ce principe de la façon dont nous, en tant qu’humains, avons tendance à trop compliquer les choses résonne avec moi, mais pour un secteur complètement différent qui a figuré en bonne place dans l’actualité de la fin du temps: la cybersécurité.
Pour examiner cette question, discutons de trois virus similaires de la variété informatique, également connus sous le nom de vers informatiques.
Notre premier ver s’appelle « Code Red ». C’était un virus Windows qui pouvait exécuter du code arbitraire une fois sur le système de l’hôte. De plus, le ver infecterait un serveur Web Windows et afficherait le message suivant:
Et bien sûr, le ver chercherait à se propager et à trouver d’autres hôtes infectables dans des machines non corrigées. Un correctif pour cette vulnérabilité avait été proposé un mois avant les attaques de Code Red, mais peu d’institutions l’avaient installé. Cela a causé des maux de tête et une gêne considérables aux services informatiques de plusieurs secteurs.
Notre deuxième ver est Nimda. Nimda pourrait se transférer sur un ordinateur de cinq manières différentes, y compris le courrier électronique. Il est devenu l’un des premiers vers à pouvoir exécuter son code même si l’hôte n’ouvrait pas l’e-mail infecté. Nimda a empêché les employés des tribunaux fédéraux d’accéder aux dossiers judiciaires par voie électronique et les documents judiciaires infectés ont dû être nettoyés un par un. Nimda, comme Code Red, a exploité une vulnérabilité Windows déjà corrigée. Pourtant, il a causé des dommages beaucoup plus importants en raison des multiples points d’entrée et de la propagation rapide.
Notre troisième ver est WannaCry. Tout comme pour les deux derniers vers, Microsoft avait proposé un correctif qui aurait protégé contre la menace WannaCry. Cependant, il y a un peu de détail ici qui est pertinent: un correctif n’a pas été initialement publié pour le système d’exploitation Windows XP. Il y avait une certaine frustration des utilisateurs avec cela, mais il convient de noter que Windows XP était en « fin de support » depuis plus de trois ans au moment de cette épidémie (plus à ce sujet plus tard). WannaCry cryptait les fichiers locaux sur la machine et offrait le message suivant aux utilisateurs:
L’utilisateur avait le choix de payer la « rançon » ou de perdre définitivement l’accès à ses fichiers. Dans le même temps, le ver continuerait d’essayer de propager l’infection à d’autres machines qui avaient la vulnérabilité non corrigée. Heureusement, il y avait un « kill switch » qu’un chercheur de logiciels malveillants intelligents a identifié et activé et une grande partie du potentiel du ver n’a jamais été réalisée.
Alors que je terminais ce post, un nouvel exploit de rançongiciel appelé Petya a commencé à infecter des systèmes à travers le monde. Selon TechCrunch, « Tout dans cette situation indique que de nombreux gouvernements et entreprises du monde entier n’ont pas pris WannaCry au sérieux, n’ont pas réussi à corriger leurs systèmes et en paient maintenant le prix. »
Comme l’a dit Brian Krebs, « Les organisations et les individus qui n’ont pas encore appliqué la mise à jour Windows pour l’exploit Eternal Blue devraient patcher maintenant. Cependant, il y a des indications que Petya pourrait avoir d’autres astuces dans sa manche pour se propager à l’intérieur de grands réseaux. »Cela suggère que Petya pourrait simplement être la salve d’ouverture, le tout résultant de mauvaises pratiques de rapiéçage.
Le fil conducteur de tous ces exploits est que les systèmes n’ont pas été rapidement corrigés et ont donc été exposés à ces vers. Il s’agissait en fait de problèmes évitables. Mais ce qui rend cela vraiment intéressant, c’est que les premiers vers datent de 2001 et le dernier de 2017. Comment se fait-il que 16 ans plus tard, nous ayons le même problème?
À la fin des années 1990 et au début des années 2000, alors que nous développions OpenTable, nous n’avons jamais envisagé les questions de cybersécurité, car nous étions tellement concentrés sur l’hypersaling de l’entreprise et les menaces connues étaient minimes. Cependant, la souffrance de Nimda et Code Red m’a amené à me réveiller. Je me suis rendu à notre conseil d’administration d’OpenTable et je les ai informés des menaces émergentes dans le cyberespace et de la façon dont notre réseau pourrait y être vulnérable. Cela aurait un impact direct sur la stabilité, l’évolutivité et l’intégrité de notre entreprise et nous devrions donc investir pour la rendre plus sûre. J’ai plaidé pour un plan de sécurité axé sur le bon fonctionnement des bases de la sécurité, et il a été financé. Alors que la sécurité restait un problème permanent, et je suis sûr que cela inquiète les gens opentables aujourd’hui, c’est devenu essentiellement un processus résolu et nous avons pu construire sur une base stable.
Le cœur de l’approche fondamentale était simple. Corrigez vos systèmes en temps opportun, contrôlez ce qui peut être vu par Internet et autorisez correctement les systèmes. Un utilisateur doit disposer des autorisations minimales pour accomplir ce dont il a besoin. Cette approche de base évite remarquablement une énorme exposition à la sécurité. C’est l’approche « cheval ».
Ce sentiment a été repris dans un récent podcast sur la sécurité de O’Reilly, « Dave Lewis on the tenacity of solvable security problems ». Lewis, défenseur de la sécurité mondiale chez Akamai, a fait le point suivant qui résonne clairement:
« Il y a plus de vingt ans, lorsque j’ai commencé à travailler dans la sécurité, nous avions un ensemble défini de choses auxquelles nous devions faire face de manière continue. Au fur et à mesure que nos environnements se développent avec des éléments tels que le cloud computing, nous avons pris cet ensemble de soucis de base et les avons multipliés plus, plus, plus. Les choses que nous aurions dû bien faire il y a 20 ans — comme les correctifs, la gestion d’actifs — ont empiré à ce stade. Nous avons augmenté notre dette de sécurité à des niveaux ingérables dans de nombreux cas. Les personnes responsables des correctifs finissent par transmettre cette tâche à la prochaine personne junior en ligne alors qu’elles avancent dans leur carrière. Et cette personne junior la transmet à son tour à quiconque se présente derrière elle. Ainsi, les correctifs ont tendance à être quelque chose qui est évité au bord du chemin. En conséquence, le problème ne cesse de croître. »
La morale de l’histoire est que nous devons revenir à l’essentiel pour mettre fin à ce manque de progrès dans un domaine critique. Lorsque j’étais Directeur de l’information (CIO) de la ville de Chicago, j’ai consacré beaucoup de temps et d’efforts à la création d’un programme de cybersécurité. Malheureusement, à tous les niveaux de gouvernement, c’est un domaine qui reste en sous-effectif, sous-pensé et sous-doté. Alors que nous innovons et passons à davantage de systèmes numériques, c’est l’un des problèmes les plus critiques auxquels le gouvernement doit tenir compte.
Malgré les avantages évidents d’une approche à cheval de la sécurité, en tant que CIO, j’étais constamment bloqué par des fournisseurs proposant des systèmes hautement spécialisés pour des cas d’utilisation très spécifiques. J’ai refusé de faire ce genre de dépenses de zèbre alors que je ne pouvais même pas couvrir le cheval. Nous avons donc lancé un programme axé sur la fondation et la construction à partir de là lorsque cela est pratique.
Les agences doivent considérer ces étapes de base de la cyber-hygiène comme une base pour faire des progrès critiques:
- Restez au courant des correctifs et faites—en une priorité du ministère ou de l’organisme – c’est ennuyeux, mais c’est efficace.
- Correctement les systèmes d’autorisation avec les autorisations minimales nécessaires.
- Pour le trafic Web, utilisez toujours SSL. https://https.cio.gov/
- Le cadre de l’agence a besoin d’une ressource de cybersécurité de haut niveau qui comprend la technologie.
Il n’y a aucune excuse pour permettre à l’histoire de se répéter. Les mauvaises pratiques d’il y a dix ans ne devraient pas continuer à tourmenter les organisations aujourd’hui, et le moyen le plus efficace de prévenir les cyberattaques de demain est de miser sur le cheval.