Il y a quelques semaines, j'évoquais la notion de cyber-arsenal, d'un ton presque badin. Aujourd'hui, c'est un peu plus sérieusement que j'y reviens puisque un article paru hier sur Infosec Island, (re)met sur le devant de la scène des travaux de recherche consistants mais aussi inquiétants sur la puissance du Google Hacking dans le cadre d'une utilisation malveillante.
Tout d'abord, un mot sur ce dont il s'agit : le Google hacking est une technique qui utilise les fonctions étendues des moteurs de recherche, au premier rang desquels Google et dorénavant Bing. Cette technique donne accès à une incroyable mine dans laquelle on trouverait en même temps de l'or autant que du pétrole ou des métaux rares ! L'analogie de cette fabuleuse mine avec l'information me parait judicieuse puisque cette technique est donnée comme de premier rang pour la plupart des exploits des Lulzsec et, surtout, des Anonymous.
L'ensemble permet de collecter de l'information sur les vulnérabilités logicielles, des erreurs de programmation tout comme de trouver de nombreux documents, de simples fichiers texte par exemple, dans lesquels peuvent se trouver des informations sensibles qui ne devraient pas être (aussi facilement) accessibles : fichiers personnels (facilitant l'ingénierie sociale), documents d'entreprise à usage interne, éléments d'administration de réseaux, etc.
L'ensemble permet de collecter de l'information sur les vulnérabilités logicielles, des erreurs de programmation tout comme de trouver de nombreux documents, de simples fichiers texte par exemple, dans lesquels peuvent se trouver des informations sensibles qui ne devraient pas être (aussi facilement) accessibles : fichiers personnels (facilitant l'ingénierie sociale), documents d'entreprise à usage interne, éléments d'administration de réseaux, etc.
Toutes ces informations sont utiles voire nécessaires pour élaborer puis mettre en œuvre un scénario d'attaque et, cerise sur le gâteau, le Google hacking permet également de découvrir d'innombrables mots de passe facilitant largement les attaques. L'irresponsabilité de nombreux internautes mais aussi d'entreprises peut ainsi être qualifiée de pousse-au-crime, le B-A-BA n'étant même pas respecté.
La présentation faite à Miami dans le cadre de Hacker Halted en octobre 2011 est technique mais n'en demeure pas moins éloquente, d'autant plus que Francis Brown a élaboré un outil permettant l'automatisation des recherches et facilitant l'interprétation des résultats. Parmi leurs cibles, les failles embarquées par Flash pour des pénétrations malveillantes et déconcertantes de facilité ainsi que la mise en lumière des faiblesses du cloud. Ses principaux opérateurs fournissent un service qui n'est, pour le moment, pas fiable en terme de protection de l'information : les accords contractuels précisent qu'ils ne sont pas responsables d'une quelconque fuite d'information ni de perte d'intégrité des données ! Un comble pour un service donné comme la révolution informationnelle actuelle au sein des entreprises alors qu'il s'agit, une fois de plus, de la confirmation la plus élémentaire de prudence recommandée par ce blog et bien d'autres.
La présentation de Francis Brown démontre particulièrement la facilité qu'il y a de récupérer des informations dans "le nuage", en particulier sur l'EC2 d'Amazon qui est l'une des plate-formes les plus utilisées et qui a déjà connu de sérieux problèmes l'année dernière. Il est donc recommandé de ne pas stocker, pour le moment, de données sensibles dans le cloud. Tout comme il pourrait être "amusant" pour un RSSI, si ce n'est déjà fait, de faire passer son système d'information au travers des fourches caudines du Google hacking !
La présentation de Francis Brown démontre particulièrement la facilité qu'il y a de récupérer des informations dans "le nuage", en particulier sur l'EC2 d'Amazon qui est l'une des plate-formes les plus utilisées et qui a déjà connu de sérieux problèmes l'année dernière. Il est donc recommandé de ne pas stocker, pour le moment, de données sensibles dans le cloud. Tout comme il pourrait être "amusant" pour un RSSI, si ce n'est déjà fait, de faire passer son système d'information au travers des fourches caudines du Google hacking !
Aucun commentaire:
Enregistrer un commentaire