vous etes sur la liste de Krebs-RSA : et alors ?

C'est un peu l'affolement depuis que Krebs a publié la liste des entreprises ou des réseaux ayant eu des connexions avec les machines considérées comme étant directement impliquées dans l'attaque dont RSA a fait les frais.

votre nom est dans la liste de Krebs

Le nom de votre société se trouve dans la liste : C'est grave docteur ? Faut-il se jeter sur la première proposition commerciale qui pointe le bout de son nez ou boire les paroles du premier consultant sécurité ayant le verbe développé ? Non : de toute façon si vous êtes intrudés depuis quelques mois, la précipitation ne servira à rien : le mal est déjà fait.

Dans la liste, on retrouve notamment l'AS3215, le réseau IP Internet du groupe France-Télécom. C'est large, c'est grand l'AS3215 : On y retrouve les accès Internet grand public, des plateformes de services internes ainsi que des infrastructures et des accès dédiés pour des entreprises, etc.... on a donc "à boire et à manger" : apéritif, entrée, plat, fromage, entremet, dessert, digestif et petits fours. C'est la même chose pour d'autres providers... En cela la liste de Krebs est plutôt "floue" pour ne pas dire "totalement imprécise".

le démenti comme moyen de défense

Après, je comprends que certaines sociétés prennent les devants et envoient des démentis. Nous sommes dans le jeu de la réputation. "Non, c'est faux, c'est pas moi", "je ne suis pas concerné", "on a fait exprès c'était pour analyser l'attaque", "les détails fournis sont insufffisants", etc...

Les personnes des agences de communication peuvent y aller de toute leur créativité : pour le moment pas grand chose à se mettre sous la dent de bien concret... Les raisons ou explications les plus fantaisistes passeront sans aucun problème.

plus que le contenu de la liste, c'est la liste elle-même qui est intéressante

En fait, ce n'est pas le contenu de la liste qui est intéressant (on retrouve quasiment tous les grands qui font l'Internet...). Est-ce qu'ils ont été attaqués en tant que tels ? Est-ce que ce sont leurs clients qui ont été victimes ? Est-ce qu'il ont fait exprès de s'infecter pour ainsi analayser et collecter des informations sur l'attaquant ? Mystère et boule de gomme. Ca restera aussi secret que la date du premier baiser de Mr. le président de je ne sais quelle république ou dictature...

Ce qui est réellement intéressant dans cette liste c'est sa portée : Le fait que ces attaques concernent potentiellement un très grand nombre d'acteurs du monde entier.

un appel à l'action

C'est fini les "ça n'arrive qu'aux autres", ou les "je ne suis pas une cible interessante". La menace est globale et il est temps de l'accepter. Nous sommes façe à un "raise for action" pour lequel les dirigeants des sociétés et des gouvernements donner une réponse adaptée.

cible ou fournisseur ? Les conclusions sont les mêmes

Dans un cas, on est la cible en tant que telle, et donc on doit se protéger contre cette menace grandissante. Ou alors ce sont ses clients qui sont la cible de ces attaques : De façon très légitime ils attendent, ils demandent même (implicitement ou explicitement) que leur fournisseur fasse ce pour quoi il est payé : Leur fournir des services pour se protéger, pour se défendre de ce type de menaces.

Car disons-le directement : Combien d'organisations peuvent se targuer d'être en mesure de se protéger effectivement d'attaques telles que celles-ci ou d'autres ? Si des sociétés comme RSA ne sont pas en mesure de se prémunir d'attaques de ce type d'attaques, alors rares sont celles qui savent le faire.

place à l'accélération !

Un sujet à suivre : Peut-être en saurons-nous plus dans les semaines ou les mois à venir. En tout cas, Krebs est une personne dont la réputation n'est plus à faire. J'aurai donc tendance à prendre avec considération et sérieux les infos et messages qu'il fait passer via la publication de cette liste. Et surtout, je retiendrai qu'il est encore plus important et urgent d'aller de l'avant pour améliorer la sécurité de nos systèmes d'informations et continuer à booster les services de sécurité que les  fournisseurs et prestataires de services proposent à leurs clients.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens