Le site Wikileaks (littéralement : Wikifuites) publie pour la deuxième fois des documents gênants pour les Etats-Unis et provenant d'exfiltrations de données classifiées. En tout, quelques 250 000 documents du département d'Etat [Ministère des Affaires Etrangères] américain auraient été récupérés et seraient en train d'être publiés. De façon inédite, cinq journaux à travers le monde ont collaboré sur l'exploitation de ces données et publient des articles basés sur elles, masquant au passage les identités de personnes physiques potentiellement mises en danger par cette publication : Le Monde (France), le New York Times (Etats-Unis), le Guardian (Royaume-Uni), El Pais (Espagne) et Der Spiegel (Allemagne).
Quelques soient les motivations de chacun dans cette affaire ou les conséquences politiques de ces révélations, il reste des leçons à tirer pour assurer la sécurité informatique. Et pas seulement au Département d'Etat.
Une fuite humaine, trop humaine
L'auteur de la fuite serait un jeune soldat de 22 ans, Bradley Manning. Selon Le Monde, ce jeune militaire serait un exalté ayant eu accès aux serveurs informatiques contenant les données. Il aurait plutôt un profil d'administrateur de serveurs. Selon the Guardian, ce même militaire est plutôt qualifié d'analyste. Dans les deux cas, cette affaire rappelle aux responsables d'entreprise ou de systèmes d'information, que le maillon faible de la sécurité, reste l'humain.
S'il était effectivement administrateur, comme il y a peu dans une affaire impliquant Google, c'est donc un technicien qui aurait eu accès au contenu des données situées sur les serveurs qu'il administrait. Or, fondamentalement, il n'est pas nécessaire pour l'administration technique d'un serveur de disposer d'un tel accès. Usuellement, pour éviter ce genre de soucis, il suffit que les données soient cryptées avec des clés dont l'administrateur du réseau et des serveurs ne dispose pas. Bradley Manning aurait déclaré que les mots de passe mis en oeuvre étaient d'un niveau faible.
Une autre approche serait celle de type DLP (Data Loss Prevention ou Data Leak Prevention). Elle consiste à protéger les données les plus sensibles en empêchant qu'on puisse les sortir d'un périmètre circonscrit ou de les copier sur un support amovible. Or, selon The Guardian et le Monde, cela pourrait être le mode utilisé par Bradley Manning qui aurait recopié les informations sur un CD réinscriptible. Il aurait déclaré "J'ai eu un accès sans précédent à des réseaux classifiés 14 heures par jour, 7 jours par semaine, durant plus de 8 mois."
La protection de type DLP a l'avantage d'être efficace face aux personnels ayant un accès légitime à un moment donné à des données sensibles. Par exemple, si la personne soupçonnée est un analyste.
Au bout du compte, la protection de données sensibles peut passer par la mise en oeuvre de dispositifs lourds de contrôle. Mais on devra d'abord analyser finement les droits d'accès de chaque utilisateur et de chaque administrateur, ainsi que de le niveau de confiance qu'on peut leur accorder. Dans combien d'entreprises les droits d'accès au système d'information sont-ils maintenus à des salariés qui ont quitté l'entreprise ?  Encore une fois, la faiblesse d'une procédure de sécurité relève pour beaucoup de l'humain.
Illustration : le site Wikileaks (crédit : D.R.)
Fuites Wikileaks : le maillon faible de la sécurité reste l'humain
Une masse de documents confidentiels ayant trait à la politique étrangère des Etats Unis vient d'être publiée sur le site Wikileaks. Selon les sources, le jeune militaire soupçonné de la fuite serait soit un administrateur de serveurs, soit un analyste. Quelles leçons peut-on tirer de cette affaire pour mieux assurer la sécurité informatique ?