MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Que de telles vulnérabilités continuent d’apparaître n’est guère surprenant. Ce qui est plus étonnant, c’est que les organisations en fassent si peu pour se protéger contre ce type de vulnérabilités. Ce n’est souvent pas en raison d’un manque d’outils, mais d’un manque de vision et de politiques de sécurités bien définies.
Bien que la vulnérabilité XZ ait beaucoup moins d’impact que Log4J, ce cas présente des caractéristiques intéressantes. Par exemple, il semble que le développeur qui a construit la vulnérabilité était lui-même impliqué dans le développement et la maintenance des composants de la bibliothèque XZ. Cela a permis à cette personne de gagner la confiance dans le monde de Linux, puis d’y voir une opportunité pour commencer à développer une vulnérabilité. De plus, le développeur avait une vision à long terme car il a réussi à avancer masqué pendant plus d’un an et demi.
Il y a quelques leçons à tirer de cette séquence :
Solarwinds, Kaseya, Log4J, XZ... les nouvelles cybermenaces se succèdent à un rythme de plus en plus effréné. Surtout dans les conditions géopolitiques actuelles, on peut parier que des Russes, Chinois, Iraniens, Nord-Coréens... (et peut-être aussi des Américains, Anglais, Français...) écrivent quelque part des lignes de code capables de faire tomber des agences gouvernementales, des entreprises, voire des pans d’Internet tout entier. 99 % d’Internet fonctionne sur Linux, il y a forcément des bibliothèques couramment utilisées qui ne sont pas complètement sécurisées. Ne vous reposez donc pas sur vos lauriers après avoir traité Log4J ou XZ. Dans le monde de la sécurité, on n’est jamais à l’abri.
La plupart des attaques passent encore par un endpoint non sécurisé. Il est crucial de répertorier chaque endpoint et d’appliquer en permanence les correctifs et les mises à jour nécessaires. Lorsque qu’une organisation dit qu’elle a répertorié tous les PC, je leur conseille toujours de les recompter. Après tout, le Shadow IT est partout. Dès qu’un département peut dépenser son propre budget, le Shadow IT apparaît. Il est donc particulièrement important de déployer un outil capable de découvrir, d’inventorier et de vérifier tous les endpoints et l’état des correctifs et des mises à jour.
Comme les événements entourant XZ et Log4J le montrent clairement, la vigilance ne se limite pas au matériel. Il faut également réaliser un inventaire des logiciels que vous utilisez car les applications sont concues à partir de composants et de bibliothèques d’origines diverses. Ces composants logiciels et bibliothèques sont souvent réutilisés et partagés. Il est important de cartographier ce patchwork de composants et de savoir où chaque bibliothèque est déployée. C’est précisément pour cette raison que le concept de « nomenclature logicielle » (SBOM) a récemment gagné en importance.
Vous ne pouvez jamais complètement empêcher un piratage ou une attaque, peu importe à quel point vous êtes bien préparé. Assurez-vous donc d’avoir un plan de remédiation prêt pour le jour où tout ira mal. Sachez quelles agences notifier en cas de violation de données, sachez quelles parties de votre réseau vous devrez peut-être mettre hors ligne... En créant un plan de remédiation efficace, et en le suivant réellement, vous pourrez éviter d’aggraver la situation.
De nos jours, on prête à juste titre plus d’attention à toute la chaîne d’approvisionnement. Il ne suffit pas de cartographier complètement votre propre environnement ; il est crucial de savoir également que les fournisseurs avec lesquels vous travaillez font de même. Collaborez donc avec eux pour créer un écosystème sécurisé.
La personne qui a inséré la vulnérabilité dans la bibliothèque XZ avait une vision à long terme. Pendant un an et demi, elle a travaillé patiemment au développement de Linux, jusqu’à ce qu’elle frappe. Certes, il est fastidieux de répertorier et d’auditer tous les logiciels et matériels. Néanmoins, chaque organisation devrait avoir un département dédié à l’hygiène IT qui maintient en permanence les basiques. Un département qui n’est pas soumis à la contrainte du temps mais qui s’assure que toutes les mesures de cyber hygiène sont bien prises.
Tout le monde fait des erreurs, et on apprend des leçons, parfois coûteuses, de cette manière. L’essentiel est de ne pas tomber encore et encore dans le même piège. En garantissant une bonne hygiène de base en cybersécurité et en tirant les bonnes leçons d’un événement tel que la vulnérabilité XZ, une organisation s’arme contre les problèmes qui ne manqueront pas de survenir tôt ou tard.
