La sécurité de l’information : développer une attitude paranoïaque

Dans le cadre du Colloque québécois de la sécurité information, les conférenciers qui se sont relayés, avaient presque tous le même objectif : nous inquiéter. Deux exemples.

Au Colloque québécois de la sécurité information (CQSI 2008), auquel j’assistais la semaine dernière à La Malbaie, les spécialistes de la discipline se sont donné pour mandat de nous alarmer en nous décrivant, voire en nous démontrant en direct, les dangers qui nous attendent. De quoi nous rendre paranoïaque.

Le premier à nous inquiéter a été Michel Cusin, expert en sécurité chez Bell, un « hacker » qui travaille du bon côté de la « force », qui avait passé une partie de la soirée précédant sa présentation à monter sur place un environnement comprenant serveurs et coupe-feu, afin de nous faire une démonstration qu’avec certains procédés relativement simples de XSS (Cross side scripting), un programmeur malicieux pouvait réussir à se servir de votre PC pour attaquer un serveur, sans se faire voir. La technique ainsi illustrée n’était pas détectée par le coupe-feu, ni par le détecteur d’intrusion et arrivait à aller attaquer un serveur externe en se plaçant derrière un serveur mandataire (proxy) anonyme…

Un autre exemple encore plus simple de vulnérabilité : suffit d’entrer un petit bout de code JavaScript banal, affichant une fenêtre de message par exemple, dans un champ de nom d’usager ou de mot de passe. Dans nombre de cas, plutôt qu’être validé pour voir si les caractères correspondaient ou non à ce qui est attendu comme mot de passe ou nom d’usager et éventuellement rejeté, le bout de programme JavaScript est exécuté, dans le champ du mot de passe ou du nom d’usager.

Banal sans doute, croirez-vous. Tout dépend du code Java qui est exécuté. S’il est malicieux, gare à vous.

La réalité ressemble à la fiction

C’était le titre de la conférence de Jacques Viau sur les menaces Internet. Bien connu dans le milieu, M. Viau est expert en sécurité à l’ISIQ et ancien policier au SPCUM où il a fondé l’unité d’enquête sur la criminalité technologique.

Si M. Viau constate que la sécurité a beaucoup évolué au niveau stratégique avec des méthodes, des normes et des outils, il se demande pourtant, alors qu’on parle de Web 2.0, et même 3.0, si on est prêt pour le Web 1.5, en matière de sécurité. Il y aurait à son avis beaucoup de place à l’amélioration.

Notamment, mentionne-t-il, il faudrait qu’on s’organise sur la réponse aux incidents : on n’a pas, par exemple, d’organisme de type CERT (Computer Emergency Response Team) au Québec.

Risques technologiques

Parlant de Twitter et des microblogues, M. Viau s’interroge sur le niveau de sécurité d’un service comme Yammer qui offre des microblogues corporatifs, mais externalisés. « Combien de temps avant la première vulnérabilité? », s’interroge-t-il.

Il s’inquiète sur la méconnaissance par les utilisateurs des risques des réseaux Wi-Fi publics non sécurisés, soulignant que, par exemple, les mots de passe vers les serveurs de courriels sont souvent passés en clair sur le réseau, ce qui est facile à saisir pour qui a de mauvaises intentions.

Il souligne que les délits technologiques touchent tout le monde, même ceux qui ont sans doute des politiques sur la sécurité à toute épreuve, citant au passage le récent vol d’un portable à la Banque Nationale, les faux courriels de Stephen Harper ou le hacking du courriel de Sarah Palin.

Il redoute JS et VBS, selon lui les deux sources en plus grande croissance pour la vulnérabilité sur le Web, qui par ailleurs proviennent de plus en plus de sites légitimes qui ont été hackés. Il suggère même de faire attention aux cartes de Noël en format flash et aux autres images qu’on vous envoie régulièrement.

Il recommande que la haute direction soit consciente du risque pour la survie de l’organisation, et qu’elle désigne un « coach de la sécurité », qui connaît aussi les opérations et la programmation, et qui soit impliqué dès le début des projets de développement.

Comme quoi la sécurité de l’information doit être envisagée globalement, dans l’ensemble des processus des organisations. Et très haut en amont.

Patrice-Guy Martin est rédacteur en chef du magazine Direction informatique.


À lire aussi cette semaine: La politique Web 2.0 – partie 2 : les blogues, les réseaux sociaux et le vote stratégique Charles Sirois : savoir prendre des risques L’actualité des TI en bref Pourront-ils innover davantage? Et moi et moi et moi…

Articles connexes

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Investissements majeurs de 500 M$US de Microsoft au Québec

Au cours des deux prochaines années, Microsoft investira 500 millions de dollars américains dans l'expansion de son infrastructure infonuagique et d'intelligence artificielle à grande échelle au Québec.

Balado Hashtag Tendances, 23 novembre 2023 — Crise chez OpenAI, des puces Microsoft et investissements majeurs au Québec pour Microsoft

Cette semaine : Grave crise à la tête d’OpenAI, Microsoft conçoit ses propres processeurs et investissements de 500 M$ de Microsoft au Québec.

Consultation publique sur la cybersécurité

Le ministère de la Cybersécurité et du Numérique lance cette semaine une consultation publique sur la cybersécurité. Celle-ci permettra au gouvernement du Québec de solliciter un grand nombre d'intervenants ainsi que la population générale sur les enjeux et les besoins en cybersécurité.

Plus de six PME québécoises sur dix touchées par la cybercriminalité au cours de la dernière année

Un nouveau sondage mené par KPMG au Canada le mois dernier révèle que plus de six PME sur dix au Québec ont été attaquées par des cybercriminels au cours de la dernière année, et près des trois quarts d'entre elles affirment que leurs anciens systèmes d'information et de technologie opérationnelle les rendent vulnérables aux attaques.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.