«Nous identifions toutes les portes d’entrée possibles des cyberattaquants»
Ils sont seulement quelques dizaines en Suisse romande à «hacker» des systèmes informatiques pour la bonne cause. Quentin Praz, ingénieur en sécurité chez Navixia à Ecublens (VD) et diplômé de l'EPFL, explique cette discipline.
Comment procédez-vous pour effectuer du hacking éthique, appelé aussi «tests d’intrusion»?
En premier lieu, nous déterminons la surface d’attaque, autrement dit, nous cherchons à identifier tout ce qui est exposé sur internet. Il pourra s’agir par exemple de serveurs mail, d’applications pour la clientèle, d’accès VPN, etc. Nous devons être les plus exhaustifs possibles. Si nous manquons un service, nous manquons une porte d’entrée possible pour une cyberattaque.
Dans un second temps, nous cherchons à trouver toutes les vulnérabilités possibles à l’intérieur de cette surface, soit toutes les failles pouvant porter atteinte au fonctionnement du système ou à l’intégrité des données. Certaines sont déjà connues et listées dans des bases de données publiques, qui indiquent par exemple que les versions X ou Y de tel serveur ont une faiblesse. D’autres vulnérabilités doivent être identifiées par nous-mêmes, par exemple lorsqu’elles concernent des applications web spécialement développées par le client. Enfin, nous rendons au client un rapport résumant tous les tests d’intrusion qui ont été menés, les vulnérabilités trouvées et nos recommandations.
Quelles erreurs commettent le plus souvent les PME que vous auditez?
Les vulnérabilités proviennent souvent de systèmes qui ne sont pas à jour, comme des serveurs ou des logiciels. Les patchs de sécurité pour corriger la faille n’ont pas encore été installés. Elles sont aussi souvent le fait d’une erreur dans le code informatique, lors de développements personnalisés. Par exemple, la segmentation des comptes n’a pas été correctement réalisée sur un portail client et un utilisateur peut potentiellement voir les données d’un autre usager. Les grandes entreprises budgètent et réalisent des audits dès la phase de développement de leurs applications. Mais pour une petite entreprise, qui n’a pas forcément les moyens pour cela, il est souvent plus sûr d’utiliser des produits grand public, qui sont utilisés par des millions de personnes et donc, beaucoup plus contrôlés. Il faut toutefois bien les garder à jour, car ils sont aussi plus souvent attaqués. De manière générale, il faut se demander en tant que PME: quels sont mes risques? Si j’ai un serveur mail et un site interne hébergé dans le cloud, je n’ai pas une grande exposition. Si je manie des données sensibles de clients ou que mon appareil de production dépend de plusieurs logiciels connectés, je pourrais songer à un audit.
Quelles sont les principales différences entre un hacker et vous?
Nos techniques sont identiques, mais nos philosophies diffèrent grandement. Le pirate informatique va rechercher n’importe quelle faille pour l’exploiter et nuire, en demandant une rançon ou en volant des données. Nous recherchons des vulnérabilités, mais dans le but d’aider nos clients, de prévenir des attaques. Nous sommes complétement indolores et exhaustifs dans l’identification des failles.