Connaissez-vous le Total Protection for Data de McAfee ?

illustration2008032601.jpgLa semaine dernière, j’ai pu converser avec Andrew J. Berkuta, un expert assez haut gradé chez McAfee où on fabrique depuis la nuit des temps, des logiciels de sécurité. Avec un titre comme « Senior Security Evangelist », ce qui pourrait se traduire par « porte-parole principal en matière de sécurité », le gars avait nécessairement comme mission de me vendre du McAfee à la tonne afin que je vous en dise, céans, beaucoup de bien. Bien sûr, qu’il l’a fait, mais il l’a fait sans la pompe, le clinquant et les débordements particuliers à l’univers scabreux du marketing.

M. Berkuta (photo ci-après, à droite) m’a essentiellement parlé du pourquoi de ce nouveau produit lancé par son entreprise, le McAfee Total Protection for Data, un logiciel de pointe permettant le chiffrement des données en se servant d’algorithmes utilisés par … la Défense américaine. C’est du moins ce qu’il m’a affirmé. Il semblerait que trop de gens ne protègent pas suffisamment ce qu’ils considèrent, paradoxalement, comme étant leur plus grand actif corpo, leurs données.

illustration2008032602.jpgUn cadre se fait voler son bloc-notes, il l’oublie dans un taxi, un vérificateur comptable grave des données pour les amener à son bureau et perd le CD, un employé imprime un chiffrier pour le consulter dans son train de banlieue où il l’abandonne, et ainsi de suite, ad nauseam. On trouve des plans stratégiques dans des poubelles d’Ottawa, des questions d’examen sur Internet et des numéros d’assurance sociale en vente sur le marché noir. Les histoires d’horreur sont légion et toutes témoignent de cette extrême fragilité qui entoure la protection des données d’entreprise.

C’est pourtant facile à comprendre. Le tissu économique nord-américain est fait de PME et de petites entreprises, alias les TTE au Québec, des boîtes dont le profil est assez simple à décrire. Elles ont des représentants sur le route (parfois 80 % de leur main-d’œuvre), elles cherchent à réduire leurs frais d’exploitation et de faire augmenter la productivité de leur personnel grâce aux TI, elles n’ont généralement pas les moyens de se payer les services permanent d’un expert en sécurité informatique (salaire annuel moyen de 100 000 $ aux USA), elles n’ont habituellement pas les moyens de s’offrir une infrastructure informatique conforme aux derniers cris de performance et de sécurité, elles sont totalement dépendantes du réseau Internet et, plus particulièrement, de leur système de courriel.

illustration2008032603.jpgOr, en même temps, la cybercriminalité est en croissance soutenue. Les malfrats ont toujours su vivre avec leur temps. De nos jours, ils ne s’embusquent plus dans les recoins de grottes pour assommer leur voisin qui arrive avec une antilope fraîchement abattue sur les épaules. Et ils n’entrent plus dans les banques, mitrailleuses brandies et narines « cokées », en hurlant aux gens de se coucher. En 2008, ils travaillent surtout sur Internet. Ainsi, ils prennent énormément moins de risque, n’ont plus à se défoncer et récoltent infiniment plus de bénéfices. Les méchants sont devenus « créatifs et imaginatifs », pour prendre les termes d’Andrew Berkuta.

Certains disposent même des bons outils, des logiciels évolués que de noirs experts leur ont calmement montré à utiliser. Les corps policiers pointent généralement vers la Russie et vers des groupes mafieux tels l’infâme Dream Coders soupçonné de fabriquer le MPack Tool. Mais d’autres regroupements ad hoc leur font une vive concurrence. Pensons à WebAttacker, IcePack, Neosploit ou encore MultiExploit, pour citer ces groupes pointés du doigt l’an dernier.

Les spécialistes en sécurité dénombrent une dizaine de ces panoplies clé-en-main vendues présentement sur Internet et avec lesquels, les criminels peuvent subrepticement prendre le contrôle d’un site Web très sollicité (p. ex. celui de la Bank of India, en septembre 2007) en y injectant de petits bouts de code écrits en JavaScript. Ce qu’ils cherchent ? Toute forme de propriété intellectuelle, d’info stratégique, de donnés sur les clients et les employés, de l’info financière, bref, tout ce qui peut, pour eux, avoir une valeur marchande. Il est bel et bien fini le temps où le pire que l’on pouvait craindre était une « profanation » (defacing) du site Web.

illustration2008032604.jpg

Face à l’émergence de cette sombre force, les PME sont plutôt mal nanties. Leurs serveurs de courriels sont engorgés de pourriel, ce qui est onéreux à traiter. Le maliciel qu’elles reçoivent sur une base quotidienne leur coute très cher en perte de productivité. Idem pour les espiogiciels. Et en prime, elles perdent des blocs-notes dans des taxis !

En 2005, la firme conseil Yankee Group publiait un calcul des plus conservateurs. En évaluant à 20 secondes, le temps quotidien qu’un employé passe pour détruire son pourriel et en lire certains extraits, on arrive, sur une base annuelle, à plus ou moins deux heures de temps perdu. Comme aux USA, le taux horaire moyen des employés assis devant un ordi était de 27 $ en 2005, chaque employé fait perdre ainsi 54 $ à son employeur. Dans le cas de 100 utilisateurs de courriel, on arrive à 5 400 $ par année, et de 100 entreprises, on est rendu à un demi-million en perte de temps sur une base annuelle. Il ne reste plus qu’à imaginer la réalité.

illustration2008032605.jpgD’où la tendance vers l’impartition de toutes ces histoires de sécurité, de filtrage du pourriel, de la gestion des rustines, des mises à jour, etc., une modalité techno qui est florissante et dont vous pouvez avoir de fort beaux exemples sur le site de McAfee (pour « plogger » les trucs d’Andrew Berkuta …). D’où, également le McAfee Total Protection for Data pour aider les entreprises à rendre leurs données inutilisables à défaut d’avoir la clé de déchiffrement.

Si ce n’est pas la panacée recherchée, c’est quand même un bon début. Ce Web que l’on doit désormais fréquenter à tous les jours, qui que nous soyons, est de plus en plus dangereux et constellé de coupe-gorges. Malheureusement, à ce que j’ai compris, le nombre de bons shérifs prompt à dégainer n’est pas en augmentation. Fait que, sachant que la sécurité n’a de force que celle du plus faible de ses maillons, il nous faut agir en conséquence.

Méchante époque !

Publicités

7 réflexions sur “Connaissez-vous le Total Protection for Data de McAfee ?

  1. Pendant ce temps, du côté d’Apple, cette technologie s’appèle File Vault et elle est intégrée à OS X et OS X Serveur depuis la version Tiger (2005).

    Pas de licence à payer et bien intégrée au système d’exploitation.

    On ne parle plus ici d’évangéliste mais bien de visionnaire!

  2. Glary Utilities, permet EN AUTRE, de chiffrer des fichiers de toute sorte. Il est bien sur gratuit.
    Et demander lui de nettoyer votre ordi en même temps.
    Vraiments satisfait.

  3. Je dois faire une confidence. J’ai déjà écrit un script en ASP qui permettait de m’introduire dans certains sites Web et de parcourir tous les fichiers du serveur hôte. Je pouvais télécharger, renommer, effacer, déplacer, etc. Évidemment, je ne m’en suis pas servi pour causer des problèmes réels, mais c’était une « preuve de concept » assez épeurante. Un tout petit script de 200 lignes et quelques manipulations simples!

    Le fonctionnement était simple. Sur un serveur IIS 3, il était possible d’envoyer un fichier par FTP dans le répertoire public destiné aux « upload », même sans posséder de droits d’accès. Je télécharge donc mon script ASP vers le serveur, par FTP tout simplement, dans le répertoire « upload ». Puis, à l’aide d’Internet Explorer, j’ouvre le script que je viens d’envoyer avec une connexion HTTP ordinaire, avec le chemin http://www.nomduserveur.com/upload/script.asp. Voilà, je viens de contourner la sécurité d’un serveur web d’entreprise!

    Une simple recherche dans Google m’a permis d’identifier des centaines de sites vulnérables, grâce à la signature particulière de IIS 3.

    Évidemment, ce trou de sécurité a été corrigé dans les versions subséquentes de IIS, mais c’est surprenant les failles de sécurité qu’on peut trouver dans certains produits grand publics, dans leur configuration par défaut.Ça fait PEUR! Certains administrateurs système devraient être envoyés au Goulag.

  4. hdufort:

    Intéressant la faille que tu as trouvée… Juste par curiosité, as-tu déjà vu quelque chose de semblable avec Linux/PHP? C’est que j’ai tendance à faire confiance à ces derniers, peut-etre trop?

  5. @opportun

    Imaginez le scandale si MS allait inclure un tel logiciel dans son système
    d’exploitatation. La Commun auté européenne lui infligerait aussitôt
    quelques centaines de millions de dollars d’amende, suite aux plaintes
    des vendeurs de logiciels de cryptage.

    Mais sous XP on pouvait réaliser un cryptage plutôt rudimentaire de
    ses fichiers. Cela existe sans doute encore sous Vista. Mais comme
    je ne crypte rien, je n’ai pas vérifié.

  6. la ccrypto est presente sur pratiquement tous les os depuis bientot 10 ans (la je parle de win2k entre autre , je laisse aux autres confirmer pour les diff ‘nix et mac) monter des fichier/dossiers cryptes etais egalement present avant que ca soit integre dans les os ….. pgp anyone ? bref , si on les utilises toujours pas depuis ce temps la , je pense pas que le probleme viens de la techno , un algo plus puissant que aes n’y changera rien , le probleme est entre le banc et le clavier (code ID 10t )

  7. @toogreen,
    lorsque je travaillais en indexation de sites, nous avons trouvé assez peu de failles de sécurité dans des serveurs Apache. Le pire que nous avons réussi à faire, c’est de provoquer des ralentissement ou de « soft DoS ». Pour cela, il suffit d’écrire un client HTTP qui lit les données reçues par le serveur très trèèèèès lentement. Notre client HTTP était adaptatif; s’il se faisait décrocher par le serveur, il recommençait avec un taux de transfert un peu plus rapide. Et ainsi de suite.

    Pour PHP, c’est sûr que dans certains sites mal programmés, on peut aisément contourner la sécurité « naïve » qui a été mise en place. J’avais d’ailleurs écrit une petite application Java qui recherchait systématiquement certains types de répertoires sur les sites Web : img, image, images, dev, test, test1, private, public, upload, forms, users, (etc). Sur certains sites Web, les concepteurs s’imaginent qu’en stockant leurs renseignements critiques dans des répertoires obscures, ils sont protégés. Erreur. S’il est possible de découvrir ces répertoires et d’en afficher le contenu, ils sont cuits! Et de toute manière, il faut être idiot pour mettre des renseignements critiques dans un espace Web, surtout s’il n’est pas en HTTPS.

    Il est d’ailleurs recommandé de désactiver l’affichage du contenu des répertoires, dans Apache. Pour ceux qui aimeraient obtenir un petit script de quelques lignes en PHP, que vous pouvez installer dans les répertoires où il est souhaitable d’afficher le contenu… je peux vous en fournir un.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s