Que retenir de la crise chez TV5Monde ?

L’attaque de TV5Monde est d’une ampleur, jusque-là, inégalée, mais qui était parfaitement prévisible. Depuis des mois, voire des années, de nombreux acteurs dont Microsoft tentent de sensibiliser les différentes organisations sur l’importance de la sécurité. Si ce n’a pas été un acteur plus majeur en France tel que TF1, France Télévision, Canal Plus ou M6, c’est probablement un hasard qui a conduit les attaquants à disposer d’informations sur TV5Monde plutôt que d’autres groupes de télévision ou de presse.

Je n’ai pas (encore) de détails sur ce qui s’est passé si ce n’est que la défense de TV5Monde qui évoque une complicité interne. Quand bien même y aurait-il eu une complicité interne, il n’est pas normal que l’impact ait été si important : non seulement des comptes de réseaux sociaux ont été piratés, mais les moyens techniques de transmission des émissions ont été touchés.

Depuis combien de temps cette attaque était en préparation ? Je l’ignore, mais je sais que de nombreuses organisations font l’objet d’attaques de type Advanced Persistent Threat (APT) dans lesquelles les attaquants visent à se faire le plus discret possible pendant le plus longtemps possible.

Depuis des années, Microsoft recommande de mettre en œuvre une classification des données. Était-elle en place ? Je suis en droit d’en douter. À tout le moins, il est évident que les documents dérobés chez d’autres organisations n’avaient pas fait l’objet d’une protection telle que celle de RMS.

J’ai vu passer une image qui serait une photo d’une émission dans laquelle on voit des papiers accrochés sur le mur derrière le journaliste présent à l’écran. Il peut s’agir d’un montage humoristique, mais qui n’est pas loin de la réalité de certaines organisations dans lesquelles des mots de passe triviaux sont utilisés pour défendre des comptes ayant des privilèges très élevés. Imposer des changements de mots de passe et une longueur minimale est une nécessité qui doit s’accompagner de mesures permettant aux utilisateurs de réinitialiser leur mot de passe sans l’aide de quiconque et de manière sécurisée. Les contrôles biométriques existent depuis maintenant très longtemps et sont sous-utilisés.

La conception des défenses utilisées par de nombreuses organisations est aujourd’hui dépassée. Nous vivons dans un monde connecté. Le trésor des organisations n’est plus dans une forteresse protégée par des ponts-levis qui seront remontés en cas d’attaque : le pont-levis doit être laissé en place pour les besoins des organisations. Il convient, donc, de défendre les réseaux internes des organisations comme s’ils étaient sur Internet.

Les ordinateurs ne sont plus seulement utilisés à l’intérieur des organisations. Il est nécessaire de TOUS les protéger, y compris lorsqu’il s’agit des téléphones qui accèdent au système d’information des organisations. Les téléphones sont, aujourd’hui, les principales sources d’infections. Il est, donc, nécessaire de prendre en compte la menace en les protégeant ; notamment, en appliquant systématiquement TOUS les correctifs de sécurité de tous les systèmes ET logiciels utilisés.

Toutes ces idées rapidement jetées dans ce billet ne sont que des mesures technologiques qui ne pourront rien sans la collaboration des utilisateurs. Il est important de communiquer largement sur les crises qui arrivent plutôt que de les masquer en donnant un sentiment d’invulnérabilité aux utilisateurs. Plus les utilisateurs seront sensibilisés à la sécurité et plus ils accepteront les mesures de sécurité qu’ils subiront.