Un ex-fonctionnaire du gouvernement a réussi à compromettre les réseaux de l’US Geological Survey (USGS) après avoir visionné environ 9 000 pages de sites pornographiques infectées par des malwares sur son ordinateur portable professionnel … et a ensuite diffusé l’infection en enregistrant des images sur une clé USB non autorisée et sur son téléphone Android.
Pas de surprise ici : le fonctionnaire, dont le nom est resté secret, ne travaille plus pour l’agence, a déclaré Nancy DiPaolo, directrice des Affaires extérieures de l’OIG, à NextGov.
Le bureau de l’inspecteur général du Department of the Interior (DOI) américain a publié un mémorandum expurgé sur l’incident du 17 octobre.
L’Inspecteur général a déclaré qu’une enquête forensique effectuée à la suite de cet incident avait révélé que l’employé avait “une longue expérience” de visites de sites pornographiques. Une grande partie des 9 000 pages visitées ont été acheminées via des sites web originaires de Russie contenant des malwares. Sans surprise, le téléphone et la clé USB sur laquelle il a sauvegardé ses images ont également été infectés par ces malwares.
Le mémo indiquait que les malwares sont souvent utilisés pour endommager ou désactiver des ordinateurs et/ou pour voler des informations confidentielles, tout en se propageant le plus possible, ce qui n’est pas exactement le genre de comportement que vous souhaitez voir au niveau de systèmes gouvernementaux.
La solution : l’interdiction totale des périphériques USB ?
Bien sûr, il existe des moyens de protéger le gouvernement/n’importe qui/vos réseaux et vos appareils contre une éventuelle infection en provenance d’un site pour adultes ou de n’importe quel site d’ailleurs.
Les règles du DOI interdisent explicitement aux employés d’utiliser ses systèmes pour des “activités illégales ou inappropriées”, y compris la visualisation ou la distribution de matériel pornographique. Ses règles de comportement interdisent également aux employés de connecter des périphériques personnels, tels que des clés USB et des téléphones portables, à des ordinateurs ou à des réseaux appartenant au gouvernement.
Bref, c’est fantastique, si les employés bien sûr y prêtent attention. Ce fonctionnaire ne l’a manifestement pas fait : il a suivi une formation annuelle en sécurité, plusieurs années avant la découverte de ses agissements, et chaque année, il a signé une déclaration stipulant qu’il comprenait sans réserve les règles et qu’il les respecterait.
En plus d’obliger les employés à signer les règles de comportement et de leur faire respecter ces dernières, il existe d’autres moyens de protéger un réseau.
Voici un extrait de la note de service :
Un effort continu pour détecter et bloquer les sites pornographiques connus et les sites web d’origine suspecte renforcera probablement les mesures préventives.
L’Inspecteur général a suggéré que l’USGS “mette en place une politique stricte en matière de liste noire” de sites web ou de domaines illicites connus.
Il convient toutefois de noter qu’”éviter les sites pornographiques” est un conseil de sécurité très sélectif, tout comme “éviter les sites douteux”. Le blocage spécifique de l’accès aux sites pornographiques sera probablement utile, mais les cybercriminels et autres acteurs malveillants ne se soucient pas de l’activité réelle d’un site. Leur seul souci est de savoir si un site peut être compromis ou non, et cela comprend les sites pornographiques mais aussi des marques dont vous avez déjà probablement entendu parler (sans oublier leurs partenaires publicitaires).
Ainsi, la défense en profondeur commence par un filtrage web, mis à jour en continu avec les dernières informations sur les domaines utilisés pour le phishing et la diffusion de malwares, qu’il s’agisse de sites pornographiques ou non.
La note de l’inspecteur général a signalé d’autres changements survenus au sein du “Earth Resources Observation and Science Center” (dont l’acronyme, EROS, décrit assez bien le contexte de cette affaire) depuis l’incident en question. En particulier, EROS a amélioré ses Systèmes de Détection d’Intrusion (IDS) et sa technologie de pare-feu pour “aider à la prévention et à la détection des sites web non fiables qui tentent de communiquer avec les systèmes gouvernementaux”.
L’Inspecteur général a recommandé à l’USGS de mettre en place une politique interdisant l’utilisation de périphériques USB non autorisés sur tous les ordinateurs des employés en ce qui concerne l’utilisation de clés USB par les fonctionnaires :
Les meilleures pratiques en matière de protection contre les incidents impliquant des malwares incluent la limitation de l’utilisation de supports amovibles et de périphériques mobiles personnels.
C’est vrai. En mai, IBM est même allé jusqu’à interdire tout stockage amovible, non autorisé ou autorisé. Le message de Shamla Naidoo, Chief Information Security Officer (CISO), chez IBM, a résumé la situation ainsi : “Plus de clés USB ! Vous voulez déplacer des données ? Utilisez le réseau !“.
Comme l’a noté Paul Ducklin à l’époque, appuyé par Ross McKerchar, CISO chez Sophos, c’est beaucoup plus facile à dire qu’à faire. Les êtres humains ont tendance à inventer des solutions de contournement, des solutions qui d’ailleurs pourraient être plus risquées que le comportement interdit au départ. Essayer de gérer l’accès aux périphériques USB pourrait être une meilleure solution.
Paul partage avec nous les astuces qui permettraient peut-être aux entreprises d’éviter l’interdiction totale des périphériques USB, des interdictions pouvant déboucher sur l’ouverture de cette fameuse boite de Pandore renfermant la créativité sans limite des employés :
- Chiffrez tous vos périphériques USB. C’est un peu plus de travail que d’avoir “un accès libre et ouvert à tous”, mais si vous chiffrez tout systématiquement, vous n’aurez plus à vous soucier de savoir s’il existe des fichiers que vous auriez pu oublier.
- Fournissez des alternatives faciles à utiliser. Si vous souhaitez sevrer votre personnel vis-à-vis du stockage USB, proposez-lui une solution Cloud qu’il voudra utiliser, et qui sera facile à maîtriser.
- Sensibilisez tout le monde au niveau des risques encourus. L’interdiction des clés USB n’empêchera pas les fuites de données, en effet les données copiées dans le Cloud peuvent également disparaître après tout, alors assurez-vous que votre personnel sache pourquoi il est important de se soucier de la cybersécurité.
- Vérifiez vos logs. Que vous utilisiez des clés USB, des lecteurs Cloud ou les deux, assurez-vous de consulter tous les logs que vous gardez pour savoir qui a mis quoi et où. Si vous ne consultez vos logs, ne vous embêtez pas à les conserver : ne collectez jamais des données sans un réel objectif !
Billet inspiré de Gov worker visits 9k porn sites without protection, spreads infection, sur Sophos nakedsecurity.