ven, 06/03/2015 - 13:35
Dans le domaine de l’IT nous entendons toujours parler de l’importance du temps. Le manque de temps est souvent au cœur du problème : il influe sur le rythme auquel l’entreprise va mettre à jour sa base de données de virus, sur la fréquence de patching de son SI, sur le délai pris pour détecter une alerte, etc. Depuis quelques jours, un cas fait l’actualité, celui de l’annonce d’un piratage de ses données par la société Uber, société éditrice d'applications de véhicules avec chauffeurs dont les services sont utilisés selon l’entreprise par plus de 500 000 personnes sur notre territoire. Ce qui est étonnant autour de ce cas, c’est finalement qu’il suscite plus de commentaires et d’interrogations sur le timing de l’annonce qui a été rendue publique par Uber plus de 9 mois après que l’attaque soit survenue, plutôt que sur les dégâts engendrés, puisque d’après Uber, ils seraient de moindre importance. Mais alors que faut-il penser du temps de réaction d’Uber face à la fuite de ses données ?
Revenons quelques jours en arrière. Il y a trois jours, à travers un post paru son blog http://blog.uber.com/2-27-15 la société Uber annonçait qu’un accès ponctuel non-autorisé à sa base de données par des tiers avait auguré une importante fuite de données. Nous n’avons à date pas beaucoup d’informations sur cette fuite, mais les quelques éléments que nous avons pu recueillir nous invitent à réfléchir : Selon le blog post, l’accès non-autorisé a eu lieu le 13 mai 2014, Uber aurait ensuite identifié cet accès et donc la fuite le 17 septembre 2014 pour finalement l’annoncer le 27 février 2015 !
Il a donc fallu à Uber pas moins de 4 mois pour découvrir cette fuite de données… En quelque sorte, nous pouvons dire que c’est un petit miracle qu’après si longtemps ils aient encore eu accès à autant de preuves pour mener leur enquête et comprendre la faille (analyse Forensics).
Il a également fallu plus de 9 mois à Uber pour annoncer publiquement cette fuite, qui selon l’entreprise porte sur les informations personnelles de près de 50 000 chauffeurs. Heureusement, cela ne représente qu’un « petit pourcentage » du nombre total de chauffeurs que la société emploie. Ça n’est certainement pas la plus importante fuite de données de l’histoire et la valeur des données volées n’est peut-être pas si importante que cela, mais il aura tout de même fallu 9 mois pour que l’attaque soit rendue publique. Nous pouvons ainsi nous demander combien cette fuite a pu coûter à Uber en analyse/investigations, avocats, experts lors des derniers mois ?
Mais cette attaque nous amène surtout à nous poser la question de savoir si 4 mois pour découvrir une fuite de ce type est finalement un bon, un mauvais ou un délai moyen pour une entreprise ? Et bien, force est de constater que l’anomalie dans le système n’a définitivement pas été découverte en temps réel, ni à l’occasion d’un rapport d’activité IT hebdomadaire. A l’inverse, il ne s’est pas non plus passé plusieurs années avant qu’Uber ne découvre la fuite, ce qui est tout de même le cas dans de nombreuses entreprises.
Si l’attaquant a 4 mois pour recueillir les données, cacher ses traces et prendre son temps pour utiliser ces données volées, dans ce cas, il est clair que l’entreprise a un vrai problème.
Le temps de détection et le temps de réaction face à une attaque actuelle sont probablement les facteurs clés pour la sécurité de l’entreprise. La détection en temps-réel d’une attaque avérée permet de réagir rapidement, de stopper l’attaque avant qu’elle n’engendre de réels dégâts, de tracer et potentiellement d’identifier l’attaquant, de prendre des mesures pour contre-attaquer et empêcher l’attaquant d’utiliser les informations dérobées. Au final dans le cas d’Uber, 4 mois, cela peut être considéré comme un temps de réaction assez bon, même si le coût à payer a du être élevé.
Effectivement, il est très difficile de localiser un point d’accès non-autorisé. Et une fois qu’ils ont réussi à pénétrer le réseau, les attaquants ont généralement accès à bien plus de données puisqu’ils ont le temps pour rechercher ce qu’ils veulent et puisqu’ils ont accès à bien plus de « traces visibles ».
La clé pour une détection en temps réel est d’avoir les bons outils, en quelque sorte les bonnes lunettes, pour voir ces traces visibles. En d’autres termes, il faut trouver une aiguille dans une botte de foin, mais sans avoir des mois pour le faire. Ou alors il faudrait être capable de le faire plus rapidement.
Quelle leçon retirer du cas Uber ?
Il est toujours mieux de découvrir une fuite après 4 mois que de ne jamais la découvrir… Plus sérieusement, nous devons comprendre le facteur temps dans la détection et la découverte de failles. Evidemment, il est très important de toujours appliquer les patchs rapidement, même si bien sûr le patch ne résout pas tous les problèmes. Et si la stratégie de patching de son entreprise est déjà efficace et suffisante, il est peut-être temps d’investir pour améliorer ses capacités de surveillance pour réduire ses 4 mois de temps de découverte, à 4h…
A propos de l'auteur