newsletter-028
Newsletter n°9 - Mardi 27 mai 2014 - Piratage : Comment éviter d'être le prochain EBAY
Sécurité informatique - Cyber-Risks - Protection des données personnelles - data breach
Source : Marie Jung - 01net 22/05/14
Piratage : Comment éviter d'être le prochain Ebay.
 
Après avoir été piraté, eBay a enjoint ses 145 millions de clients à changer leur mot de passe.
Que faut-il retenir de ce type de cyberattaque et comment s'en prémunir ?
Les éclairages d'un expert.
 
Ces derniers temps, les vols de données clients se font par millions. Après Adobe fin 2013 (152 millions de comptes récupérés), et la chaîne de distribution américaineTarget fin 2013 (110 millions de clients touchés), c’est au tour d’eBay d’avouer que 145 millions de ses clients ont été impactés par un vol de données. En France, Orange s’est déjà fait voler des données personnelles deux fois depuis le début de l’année, mais dans des proportions a priori moins importantes.
 
Bref rappel des faits : mercredi, eBay a annoncé avoir été victime d’une cyberattaque et à demander à plusieurs millions de ses clients de changer leur mot de passe. Leurs noms, mots de passe cryptés, téléphones, dates de naissance et adresses e-mail et postales de clients ont été volés. Pour l’instant, aucune preuve de l’utilisation frauduleuse de ces informations n’aurait été trouvée. Pour rentrer dans le réseau d'eBay, les attaquants auraient réussi à récupérer les identifiants et les mots de passe de quelques salariés.
 
Analyser le comportement des pirates
 
« Selon eBay, l’attaque a eu lieu fin février ou début mars. Cette imprécision montre la difficulté qu’il y a à dire quand une attaque a démarré » explique Gérome Billois, senior manager en risk management et sécurité de l’information au sein du cabinet Solucom. Officiellement, le géant des enchères en ligne a découvert le piratage début mai, au moins deux mois après son début. Pas si mal, quand on sait que le délai moyen s’élève à 229 jours (plus de 7 mois) selon le dernier rapport M-trends Mandiant, mais pas très rassurant quand même. « Internet est le cœur de métier d’eBay. Heureusement qu’ils ont été plus rapides que la moyenne. S’ils perdent la confiance de leurs clients, ils n’ont pas d’autres sources alternatives de revenus. La détection des attaques est difficile même pour les gros acteurs de l’internet », note Gérome Billois.
 
Concrètement, il faut regarder les variations de comportements. Si un employé se connecte tout à coup à distance, en dehors de ses heures de travail et accède à des applications qui ne sont pas dans son champ de travail habituel, il est légitime de se poser des questions. Encore faut-il avoir des outils à sa disposition pour détecter ces changements. « Il n’y a pas nécessairement de solution technique parfaite », regrette Gérome Billois.
 
Jusqu’ici les outils cherchaient surtout des scénarios connus d’attaque, par exemple des tentatives répétées d’entrer le mot de passe d’une application, ou la présence de logiciels malveillants. Mais les pirates ont de plus en plus la capacité à réaliser des attaques dont les moyens sont inconnus. « Ce manque technologique est en train d’être comblé par des méthodes basées sur de l’analyse statistique pour trouver les signaux faibles ». Des éditeurs comme RSA, Tibco, Weblogic et le français Picviz s’intéressent notamment à cette approche.
 
Réagir aux attaques
 
Une fois l’attaque repérée, la première chose à faire est de l’analyser : comprendre comment les pirates sont rentrés, si l’attaque a encore lieu et où se trouvent les attaquants. Ensuite, il faut éradiquer le problème. En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) accompagne les administrations, voire les grandes entreprises, en cas de problème. Des structures privées offrent aussi ce type de service. eBy aurait, quant à lui, fait appel aux équipes forensic de Mandiant selon l’agence Reuters. Ces équipes techniques font de l’investigation numérique. Elles regardent les traces de comportement douteux dans le SI, analysent les logs ou encore les accès à distance.
 
Une fois que l’entreprise a une bonne connaissance de l’attaque et qu’elle est sûre que tout est terminé, il est temps de communiquer. Ce qu’a donc fait eBay au bout de 15 jours. « Ce délai n’est pas anormal pour s’assurer de la portée d’une attaque, identifier les clients touchés et réunir des informations fiables. Communiquer trop tôt peut faire courir le risque d’une réaction disproportionnée des pirates encore en place », met en garde Gérome Billois. Par exemple, un effacement des traces d’attaques, de données ou encore un démantèlement de l’infrastructure d’attaque qui ferait perdre des informations utiles.
 
En fin d’année dernière, Target a communiqué trop rapidement. La société a dû revoir à la hausse le nombre de clients impactés, ce qui l’a obligé à multiplier les communications à la presse. Or, une entreprise a plutôt intérêt à ne pas faire trop longtemps la une de l’actualité et donc à limiter le nombre de communications sur le sujet. Prendre son temps permet aussi d’identifier les clients, de préparer une communication cohérente et de leur envoyer. « Il y a un fort enjeu juridique dans ce type d’affaires, il faut donc un minimum de préparation pour ne pas envoyer un e-mail de notification rédigé n’importe comment », explique Gérome Billois.
 
Dans le cas d’eBay, le site web n’a pas été tout de suite mis à jour, alors qu’une communication sur le sujet avait déjà été publiée. Et toutes les versions du site web ne précisent pas encore à l’heure actuelle qu’une mise à jour de mots de passe de tous les utilisateurs est recommandée. Se c’est le cas des sites anglais, américain et allemand, ce n’est pas le cas du français (voir comparaison des deux types de sites ci-dessus).
 
Se prémunir contre les attaques
 
Dans le cas d’eBay, certaines bonnes pratiques de sécurité n’ont pas nécessairement été respectées. Selon l’entreprise, les pirates auraient récupéré les identifiants et mots de passe de certains salariés pour accéder au réseau de l’entreprise. Cela signifierait qu’il était possible de se connecter au système d’information d’eBay avec une authentification simple. « Si c’est bien le cas, il manque à eBay un mécanisme de protection lorsque ses salariés se connectent à distance. Une authentification à deux facteurs (ce que je sais, ce dont je dispose) est nécessaire », estime Gérome Billois.
 
Ensuite, selon le communiqué d’eBay, les mots de passe récupérés seraient cryptés. « La bonne pratique pour stocker les mots de passe consiste à utiliser des techniques de hachage appliquées plusieurs fois en ajoutant un élément aléatoire (le « sel ») pour renforcer leur solidité. Ces méthodes ne sont pas réversibles contrairement au chiffrement ».
 
Du côté des bonnes nouvelles, eBay semble gérer correctement le niveau de sécurité de ses données en fonction de leur criticité. Si des données à caractère personnel ont bien été volées, les informations de paiement ne l’auraient pas été, car elles n’auraient pas été conservées au même endroit.
 
Authorization
?0ff \/\/3? $|-|311 1.0
Password: