Retour sur des campagnes d'audits de sécurité
Retour d'expérience sur des campagnes d'audits de sécurité
Le support de la présentation est accessible sur le site de l'OSSIR.
Patrick CHAMBET et Julien TORDJMAN (C2S) ont commencé par présenter le groupe Bouygues, dont C2S fait partie, et l'organisation relative à la sécurité informatique. Chaque entité du groupe a sa propre organisation en la matière. Le groupe lui-même dispose d'une capacité d'audit interne.
L'informatique a une influence très variable sur les différentes entités du groupe. Ainsi, Colas (travaux publics) peut vivre plusieurs jours sans informatique, alors qu'une interruption d'une heure est impensable pour Bouygues Télécom.
C2S a un rôle de consolidation et de mutualisation des moyens de sécurité au sein du groupe :
- audits et conseils, transverses au groupe,
- consolidation des résultats,
- veille et alertes
Il est à noter que certains grands clients du groupe Bouygues demandent parfois l'intervention de C2S sur leurs projets propres.
La démarche d'audit mise en oeuvre par C2S se révèle somme toute classique :
- audits organisationnels ou techniques, selon les besoins,
- campagnes récurrentes et systématiques,
- recommandations afin de traiter les vulnérabilités.
Le mur de la honte
Les principales vulnérabilités relevées sur des infrastructures auditées restent très traditionnelles :
- gestion des mots de passe, comptes par défaut,
- absence de mises à jour, tout particulièrement sur des systèmes en production, y compris lorsqu'il existe des outils d'exploitation publics,
- injection de commandes, SQL, etc.
- XSS et CSRF
- installations et configurations non sécurisées, configurations par défaut,
- échanges en clair (principalement pour des échanges internes),
- gestion non sécurisée des sessions des utilisateurs (manipulation de cookies, modifications d'URLs, absence d'invalidation des cookies en fin de session),
- stockage non sécurisé des mots de passe,
- imprimantes multifonctions contenant "tous les secrets" de l'entreprise,
- post-its et notes sensibles sous les claviers ou en des lieux non sécurisés. Ces informations sont parfois photographiées par des tiers (car c'est amusant/ridicule) et mis en ligne.
En bref, ce sont des vulnérabilités sans aucune originalité, du déjà-vu depuis plus de 15 ans.
Audits d'architectures SCADA
Il ne s'agit plus d'audits anecdotiques. On retrouve du SCADA dans des installations de production, pour la gestion de bâtiments intelligents, etc. Ces systèmes manipulent des données sensibles, parfois personnelles (vidéo-surveillance, téléphonie, etc.). Il demeure une très forte marge de progression et d'amélioration.
Les types de problèmes du mur de la honte s'appliquent pleinement à ce qui a été trouvé sur des architectures SCADA.