La SG, une vitrine pour le Pentesting.
Toujours sur le thème évoqué par MM Bellovin, Kerouanton et tant d'autres - il faut pouvoir penser comme un hacker - Frédéric Charpentier, de la société XMCO Partners, nous fait part de sa réaction. Là encore, un « homme de terrain » témoigne, explique que les « mots de passe qui trainent » ne sont pas un fait exceptionnel, et que l'un des moyens de minimiser l'impact d'une intrusion, c'est encore un contrôle régulier de l'étanchéité des barrières à l'aide de tests d'intrusion. Le pentest n'est pas là une panacée, mais un complément indispensable. On retrouve dans les arguments de Frédéric Charpentier les mêmes propos que quelques experts américains et européen qui se sont récemment exprimé sur le sujet des infrastructures Scada L'affaire Kerviel/SG met en évidence le fait que les systèmes informatiques des banques ne sont pas suffisamment sécurisés. Quel que soit le dénouement de cette affaire, d'autres ont déjà existé et d'autres arriveront. C'est sûr et la raison en est simple : plus un système informatique est critique, moins il est sécurisé. Il est possible de tirer un constat simple des nombreux tests intrusifs que j'ai pu réaliser en environnement bancaire: les banques sécurisent bien sur leurs systèmes informatiques, mais uniquement les systèmes dits "périmétriques" ou les systèmes de criticité moyenne. Quant aux systèmes réellement critiques, les banques ne veulent ou ne peuvent plus tellement les sécuriser. Ces systèmes critiques sont ceux qui gèrent les " codes de clearing ", les carnets d'ordres,les habilitations, les réseaux Swiftnet, les réseaux Tibco, etc. Car pour sécuriser ces systèmes et ces logiciels, il serait nécessaire de les tester, de les modifier et donc de réaliser des interruptions de service. Mais l'interruption de service n'est plus possible, ces systèmes gèrent l'activité business. Les banques choisissent de faire de la sécurité "autour". Mais tous les hackers vous le diront: Un pied dans le réseau interne et c'est fini, vous pouvez prendre le contrôle du système. Même si les applications de Front-Office et de Back-Office implémentent des contrôles et des limitations au niveau applicatif, il s'agit le plus souvent de " contrôle de surface " qui empêche uniquement le novice d'outrepasser ces habilitations. Mais un hacker peut contourner ces protections. Il suffit généralement de s'introduire dans les systèmes d'exploitation et les bases de données sous-jacents. Les logiciels de salle de marché sont tellement imbriqués les uns les autres (modèles, reporting, flux, statistiques, etc) qu'une fois installé, il devient extrêmement difficile de modifier leur configuration. Dès lors, il n'est pas rare de découvrir des failles de sécurité telles que des mots de passe par défaut ou la présence de comptes d'administration avec des mots de passe triviaux. Lors d'un test d'intrusion sur une salle de marché, j'ai pu découvrir des mots de passe de comptes "superuser" sur des systèmes de gestion d'habilitations en quelques minutes. Nous constatons régulièrement que des failles de sécurité, découvertes parfois il y a plus d'un an, n'ont pas corrigée et la raison est toujours la même : les systèmes sont devenus tellement critiques que certains risques, comme le hacking, sont tout simplement omis. Et ce n'est pas les firewalls et les antivirus que protégeront les banques des mauvaises configurations ! Allons un peu plus loin en imaginant l'hypothèse où des personnes malveillantes modifieraient le code des applications de gestion à des fins malicieuses. Cela s'appelle "une verrue informatique". Ce risque a toujours été minimisé par le fait que les "traders" ou opérateurs de marché ne s'intéressaient pas à l'informatique. Mais aujourd'hui le risque augmente par le fait que les nouveaux traders sont également de véritables informaticiens, ils développent leurs propres modèles et leurs outils d'analyse. Quand, ce que j'appelle la "double compétence" survient, le risque ne peut plus être mis de côté. Lorsqu'un expert de la finance est en même temps un hacker potentiel, ou s'associe avec un hacker, toutes les sécurités misent en oeuvre par les banques et ses processus peuvent être contournés. A mon avis, les places financières internationales étaient protégées de ce type de risque par le fait les financiers ne connaissaient strictement rien à l'informatique et que les systèmes étaient moins complexes. L'affaire actuelle révèle ces lacunes et le fait que les banques devraient considérer leur sécurité autrement, en ne basant pas uniquement leur sécurité sur des logiciels mais également sur des tests d'intrusion, des tests réalisés à l'instar d'un hacker présent sur le réseau interne, des tests qui mettraient en évidence les véritables failles exploitables par des personnes malintentionnées.
