Chronique sécurité IT : « La sécurité par la simplicité », par Renaud Bidou
Deuxième volet de la contribution libre sur ITespresso.fr de Renaud Bidou, directeur technique de Deny All (sécurité applicative), qui propose ici ses réflexions sur la rationalisation et l’optimisation de la sécurité IT en misant sur… la simplicité.
Lorsqu’un expert en « reverse engineering » vous explique que les diverses protections mise en place dans les dernières versions de Windows rendent les vulnérabilités particulièrement pénibles à exploiter, il apparait un instant que la partie est sur le point d’être gagnée.
Quand le même expert enchaine en vantant la simplicité, l’efficacité et la « portabilité » des attaques sur les applications Web vous dites qu’il y a quelque chose qui cloche.
Et pourtant …
Quelles attaques défraient la chronique ces derniers temps ? Des dénis de service applicatifs, des vols de données via injections SQL, des infiltrations grâce à des connivences internes et l’exfiltration de données critiques par simple téléchargement.
Ce sont des techniques simples, parfois triviales, décrites dans les plus élémentaires des tutoriaux. Et pourtant des techniques à même de contourner les systèmes protégeant des infrastructures parfois critiques, pourvu que l’on sache ce que l’on fait.
Certes il serait maladroit et dangereux de nier l’existence de techniques d’intrusion bien plus évoluées, permettant de casser certains mécanismes de chiffrements, de créer des backdoors directement au niveau hardware ou de propager des codes JavaScript polymorphes.
Mais quand j’écris à partir de code récupéré sur Internet un keylogger « indétectable » par un anti-virus, je me dis qu’il serait raisonnable de commencer par le début.
Compétence, efficacité et simplicité. Un triptyque impitoyable s’il se trouve entre des mains appropriées.
Compétence, efficacité et simplicité ; comme cette injection SQL qui crée une backdoor sur le système cible : 1 UNION SELECT « <?system($_REQUEST[‘cmd’]);?> » INTO OUTFILE « /htdocs/c.php » /*
Une vulnérabilité logée dans un quelconque module dont le code a été récupéré sur Internet et un attaquant pertinent pour un drame en une ligne.