Habituellement, la communication concernant une intrusion dans le système d’une grande entreprise est laconique : on donne le moins de détails possibles, et dans un encart le plus petit possible. S’il n’y a aucune obligation légale, on tente même de mettre ça sous le tapis (heureusement, en France les entreprises gérant des données clients en nombre sont tenues de faire une annonce publique en cas de fuite, comme on l’a vu de nombreuses fois récemment). Bloomberg a eu la chance de tomber sur une conférence qui était à l’opposé de tout cela : l’entreprise a tout mis sur le tapis, sans tabou.
Le déroulé
Jysk Energi est une entreprise de fourniture d’électricité danoise, un peu à l’image de ces fournisseurs qui se sont implantés en France suite à l’ouverture du marché national. Le 9 décembre 2023, Mikael Tomra Romanius, responsable informatique de l’entreprise, reçoit un premier mail lui signalant une possible utilisation incorrecte de son compte administrateur qu’il ignore, pensant à un faux positif.
Mais deux heures plus tard, une autre alerte lui arrive, signalant que son compte tente d’accéder à des données sensibles du serveur de l’entreprise. Cette fois, Mikael appelle la société responsable de la sécurité informatique (une obligation légale au Danemark pour certaines entreprises sensibles), qui intervient immédiatement : une enquête est ouverte, et entretemps Mikael coupe tout accès aux serveurs depuis l’extérieur... pendant une semaine complète.
Un risque non pris en compte
Au final, aucune donnée sensible n’a été compromise, les serveurs ayant été isolés à temps. Mais quelle faille a bien pu permettre l’entrée sur les serveurs de l’entreprise ? Il apparaît suite à l’investigation que les serveurs publics d’une autre entreprise, qui venait d’être rachetée par Jysk, ont été intégrés au pool de serveurs principal sans faire les vérifications nécessaires au préalable avec l’équipe informatique.
Le malandrin a pu passer par une faille sur ces serveurs nouvellement intégrés et, par là, accéder au compte administrateur de Mikael, et ainsi prendre la main sur les serveurs principaux.
Suite à cette affaire, l’enquête a révélé deux brèches dans l’entreprise : dans un premier temps, aucun audit n’a été effectué sur les serveurs de la filiale nouvellement acquise, l’opération ayant été remise à plus tard et les responsables IT n’ayant pas été mis dans la boucle. Ensuite, et là Mikael et son équipe reconnaissent le fait, les permissions sont bien trop larges sur un nombre conséquent de comptes administrateurs, y compris le sien.
La moindre faille peut donner un accès général
Le récit ouvert et détaillé de cette intrusion permet d’apprendre quelques règles de bases mais extrêmement importantes, bien qu’elles soient souvent oubliées : l'une des principales, la sécurité du réseau d’une entreprise peut être résumée à la résistance de son maillon le plus faible. Et une fois entré sur le réseau, le hacker n’a plus qu’à trouver un compte lui permettant une escalade de privilèges pour accéder à ce qu’il souhaite. C’est là qu’entre en jeu la seconde règle souvent bafouée : chaque utilisateur doit avoir accès à ce qui lui est nécessaire, et juste ce qui lui est nécessaire. Pas plus.
Bien entendu, ce ne sont pas les seules règles, sinon la sécurité informatique serait un paradis pour tire au flanc... Reste que des discours ouverts, sans ambages comme celui de Mikael et de Jysk devraient être la norme, plutôt que l’exception, permettant ainsi à chacun d’apprendre des erreurs de l’autre, et ainsi faire remonter la sécurité globale des serveurs, trop souvent mise à mal ces derniers mois. Mais peut-être suis-je trop utopiste...