Ce que rappelle l'affaire Wikileaks en matière de sécurité informatique

Dossier par Bertrand LEMAIRE, 635 mots

Une masse de documents confidentiels ayant trait à la politique étrangère des Etats Unis vient d'être publiée sur le site Wikileaks. Selon les sources, le jeune militaire soupçonné de la fuite serait soit un administrateur de serveurs soit un analyste.

Ce que rappelle l'affaire Wikileaks en matière de sécurité informatique

Le site Wikileaks (littéralement : Wikifuites) publie pour la deuxième fois des documents gênants pour les Etats-Unis et provenant d'exfiltrations de données classifiées. En tout, quelques 250 000 documents du département d'Etat [Ministère des Affaires Etrangères] américain auraient été récupérés et seraient en train d'être publiés. On y apprend ainsi, par exemple, que Nicolas Sarkozy serait "un roi nu, susceptible et autoritaire", selon les diplomates américains.

De façon inédite, cinq journaux à travers le monde ont collaboré sur l'exploitation de ces données et publient des articles basés sur elles, masquant au passage les identités de personnes physiques potentiellement mises en danger par cette publication : Le Monde(France), le New York Times (Etats-Unis), le Guardian (Royaume-Uni), El Pais (Espagne) etDer Spiegel (Allemagne).

Quelques soient les motivations de chacun dans cette affaire ou les conséquences politiques de ces révélations, il reste des leçons à tirer pour assurer la sécurité informatique. Et pas seulement au Département d'Etat.

Une fuite humaine, trop humaine

L'auteur de la fuite serait un jeune soldat de 22 ans, Bradley Manning. Selon Le Monde,cejeune militaire apparaîtrait comme un exalté ayant eu accès à deux réseaux informatiques sécurisés. Selon the Guardian, ce même militaire est plutôt qualifié d'analyste. Dans les deux cas, cette affaire rappelle aux responsables d'entreprise ou de systèmes d'information, que le maillon faible de la sécurité, reste l'humain. 

Photo : Julian Assange, fondateur du site Wikileaks, lors de la conférence  New Media Days 09 in Copenhagen. (source : New Media days : http://flickr.com/photos/29071166@N02)



S'il avait des responsabilités de type administrateur, comme il y a peu dans une affaire impliquant Google, c'est donc un technicien qui aurait eu accès au contenu des données situées sur les serveurs qu'il administrait. Or, fondamentalement, il n'est pas nécessaire pour l'administration d'un serveur de disposer d'un tel accès. Usuellement, pour éviter ce genre de soucis, il suffit que les données soient cryptées avec des clés dont l'administrateur du réseau et des serveurs ne dispose pas. Bradley Manning aurait déclaré que les mots de passe mis en oeuvre étaient d'un niveau faible

Une autre approche serait celle de type DLP (Data Loss Prevention ou Data Leak Prevention). Elle consiste à protéger les données les plus sensibles en empêchant qu'on puisse les sortir d'un périmètre circonscrit ou de les copier sur un support amovible. Or, selonThe Guardian et le Monde, cela pourrait être le mode utilisé par Bradley Manning qui aurait recopié les informations sur un CD réinscriptible. Il aurait déclaré "J'ai eu un accès sans précédent à des réseaux classifiés 14 heures par jour, 7 jours par semaine, durant plus de 8 mois."

La protection de type DLP a l'avantage d'être efficace face aux personnels ayant un accès légitime à un moment donné à des données sensibles. Par exemple, si la personne soupçonnée est un analyste. 

Au bout du compte, la protection de données sensibles peut passer par la mise en oeuvre de dispositifs lourds de contrôle. Mais on devra d'abord analyser finement les droits d'accès de chaque utilisateur et de chaque administrateur, ainsi que de le niveau de confiance qu'on peut leur accorder. Dans combien d'entreprises les droits d'accès au système d'information sont-ils maintenus à des salariés qui ont quitté l'entreprise ?  Encore une fois, la faiblesse d'une procédure de sécurité relève pour beaucoup de l'humain.

Le même jour de la publication des informations confidentielles sur le site Wikileaks, c'est à dire le 28 novembre, le ministère de la défense a publié les actions menées en interne afin d'empêcher qu'une telle fuite se reproduise. Les remèdes mis en oeuvre sont totalement similaires à ceux qu'une banque ou un établissement gérant des données confidentielles devraient déployer.

Sommaire du dossier