Sécurité informatique : agilité pour les ordinateurs

Je viens de faire l’inventaire de tous les gadgets numériques qui sont connectés à mon réseau sans fil à la maison : deux ordinateurs portables Windows, deux tablettes de générations différentes, les deux iPods de mes enfants, un iPhone, un Apple TV, un vieil iMac, la Wii U, un téléviseur Sony, une chaîne stéréo Sony, le routeur Wi-Fi (bien sûr!) et un périphérique de stockage en réseau ainsi que deux téléphones IP. Je suis sûr que d'autres personnes en ont beaucoup plus.

 

Je pourrais même avoir à l'avenir une voiture qui parle « internet », une machine à café connectée à internet, un compteur intelligent (voir «Pirater les systèmes de contrôle, éteindre les lumières ! »), et je pourrais même un jour connecter mes panneaux solaires à ce réseau Wi-Fi. Voilà donc un vaste espace des phases pour les vulnérabilités qui attendent d'être exploitées par des attaquants !

Par conséquent, verrouiller mon routeur Wi-Fi et bloquer tous les accès entrants est devenu obligatoire. Mais il y a toujours une menace en interne : mes enfants surfant le web ... C’est pourquoi appliquer les correctifs (patchs) et garder tous les systèmes à jour est aussi devenu important. Mais étant donné le nombre d'appareils, il faudrait que je passe tous les « Patch Tuesday » - un jour dans le mois où Microsoft publie ses dernières mises à jour - à courir d’un système à l’autre pour mettre à jour tous les systèmes d'exploitation, firmwares et applications  ? Je trouve déjà très fastidieux de garder mon iPhone et ses applications à jour. J'ai l'impression d’être obligé, un jour sur deux, d'appliquer de nouvelles mises à jour à l’une ou l’autre de certaines applications ... Comment faire, avec cette foule de systèmes présents dans ma maison ? Eh bien, ce n'est pas possible. Et ce n’est pas possible non plus dans un grand centre de calcul comme le nôtre. Ce mois-ci, Microsoft a publié deux correctifs critiques : « MS14-066 » et « MS14-068 ». Vous pouvez imaginer l’énorme surcharge de travail pour de nombreux administrateurs système, et cela deux fois de suite.

Nous avons donc besoin d'un changement de paradigme. Entrer dans « l'agilité ». Dans un avenir proche, je m'attends à ce que les mises à jour de sécurité se glissent clandestinement dans mes périphériques (si j’ai activé l’option) pour réaliser les mises à jour et assurer leur protection. L'application de correctifs doit devenir « agile », c'est-à-dire que les mises à jour sont automatiquement appliquées une fois qu'elles sont disponibles. Et cela doit s'appliquer à tout : PC, ordinateurs portables, téléphones intelligents, systèmes embarqués, dispositifs de contrôle, ... - indépendamment de la criticité. Plus besoin d'attendre le « Patch Tuesday » et plus besoin de courir après tous mes appareils pour appuyer sur des boutons*. Et plus de redémarrages m’empêchant complètement de travailler. Mais nous n'en sommes pas encore là.

Pourtant, nous devrions au moins essayer de devenir plus agile. Un bon départ serait d'activer « Windows Update », « Software Update » pour Mac, « yum auto-update » pour Linux, etc.,dans la mesure du possible. Non seulement sur les PC de bureau, les ordinateurs portables et les tablettes, mais aussi sur les dispositifs de contrôle, les systèmes SCADA, les nœuds de calcul et les serveurs des centres informatiques. Plus un système est critique, plus nous devrions nous préoccuper des correctifs non appliqués et plus nous devrions investir sur l'installation rapide et agile des correctifs. D'autres protections de sécurité peuvent aussi être mises en place, mais seulement si les circonstances le justifient. Nous devrions parler aux vendeurs de ces systèmes et déployer des outils afin de faciliter la gestion des mises à jour. L'utilisation de « Puppet », comme nous le faisons dans « l'Infrastructure Agile » du CERN pour la gestion des centres informatiques de Meyrin et de Wigner, est un bon début. Les cycles de mise à niveau sont devenus plus courts. Cependant, il y a encore de la place pour des améliorations, comme les incidents de sécurité autour de « Heartbleed », « Shellshock » et « Poddle » l'ont montré : alors que la plupart des serveurs utilisés dans le centre informatique et pour les systèmes de contrôle ont été corrigés rapidement, de nombreux systèmes isolés sont restés vulnérables pendant un mois (!). Une gestion plus efficace (et plus rapide !) de la configuration devient importante afin d'éviter de laisser des lacunes dans la sécurisation de ces systèmes.

En conclusion : vos systèmes sont-ils agiles ? En combien de temps pouvez-vous appliquer un correctif de sécurité si on vous le demande immédiatement ? Si la réponse est « dans la journée » - Félicitations. Si la réponse est « l'été prochain », vous avez du souci à vous faire.

* À noter que les mises à jour normales, pour de nouvelles fonctionnalités, par exemple, continueraient à demander le consentement de l'utilisateur afin d'éviter l’installation d'une fonctionnalité indésirable.


N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.

par Stefan Lueders, Computer Security Team