Un pirate bienveillant lutte contre les cyberintrusions dans les systèmes de l'OTAN
La fréquence, la gravité et la complexité des cyberattaques commises dans le monde s'accroissent. Nos sociétés interconnectées sont tributaires des nouvelles technologies, lesquelles sont sondées en permanence à la recherche de vulnérabilités à exploiter. L’OTAN fait appel à des experts qualifiés en cybersécurité pour l'évaluation de ses réseaux informatiques, et elle prend des mesures visant à prévenir les cyberattaques et à s'en défendre.
« Je me mets dans la peau d'un hacker afin de simuler des cyberattaques pour repérer les éventuelles vulnérabilités de nos systèmes et pouvoir par la suite mettre en place des moyens de défense adaptés », explique Nuri Fattah, consultant principal en sécurité à l'Agence OTAN d'information et de communication (NCIA).
Nuri n'a guère de mal à se mettre dans la peau d’un hacker, puisqu'il en était lui-même un il y a quelques années. Il met à présent ses compétences au service de la capacité OTAN de réaction aux incidents informatiques (NCIRC), en qualité d’expert principal en sécurité informatique.
Issu d'une famille d'ingénieurs, Nuri est tombé dans l'informatique quand il était petit. Après un master en sécurité des technologies de l'information (TI), il choisit une autre voie : comprendre le fonctionnement des systèmes pour nuire à leur bon fonctionnement.
« À l’époque, je voulais être mis au défi et trouver de nouveaux moyens de perturber les systèmes. J'étais intrigué par la façon dont les sites de commerce électronique garantissaient la sécurité de leurs clients sur Internet, j'ai donc commencé à examiner comment la sécurité était mise en œuvre, et comment elle pouvait être aisément déjouée », explique Nuri.
Il a finalement décidé de mettre ses talents au service d’entreprises privées spécialisées dans la sécurité informatique, puis il a commencé à travailler pour l'OTAN il y a plus de 7 ans.
« J’ai réalisé qu'il y avait un marché pour les gens qui font ce que je fais et qui sont payés pour repérer les faiblesses, avec comme objectif final de sécuriser les systèmes », indique Nuri, avant d'ajouter :« C'est surtout un moyen légal de pirater un environnement dans le but de déceler les vulnérabilités, mais aussi de permettre aux décideurs de déterminer le risque commercial que poserait l'exploitation de ces vulnérabilités pour leur propre société ».
S'entraîner et améliorer ses capacités de réaction
Les exercices sont importants, car ils permettent à l’OTAN, aux Alliés et à leurs partenaires internationaux de tester, dans des conditions réelles, les capacités de réaction des unités de cyberdéfense, en offrant aux experts nationaux la possibilité de partager les connaissances et de mettre en pratique la coopération face à une crise.
« L'OTAN participe à de nombreux exercices de cyberdéfense. Le dernier auquel j'ai pris part, appelé Locked Shields, a eu lieu en avril 2013 et a été organisé par le Centre d’excellence de l'OTAN à Tallinn, en Estonie », indique Nuri, avant d'ajouter : « Il avait pour objectif que des équipes de spécialistes des technologies de l'information venant de différents pays membres de l’Alliance et de partenaires s'entraînent à détecter et à atténuer les effets de cyberattaques de grande ampleur, ainsi qu'à gérer les incidents, tout en coopérant avec d'autres équipes ».
Le scénario de l’exercice était fictif, mais les méthodes d'attaque et de défense et les conditions étaient réelles. Les équipes chargées de défendre les systèmes étaient composées d'experts et de spécialistes venant d'organismes publics, d’unités militaires, du Centre d'alerte et de réaction aux attaques informatiques (CERT) et d’entreprises du secteur privé.
Nuri a dirigé l’équipe de l'OTAN, qui était chargée de défendre les systèmes et les réseaux pendant l'exercice. « La tâche a été difficile, parfois stressante, mais amusante, et elle a exigé la mise en place d'une stratégie dynamique. Et nous avons gagné ! Notre équipe est arrivée première sur 10 ! », précise Nuri.
« Nous avons joué avec différents outils et techniques afin de voir comment verrouiller et sécuriser au mieux tous les systèmes, en les maintenant opérationnels et sans porter atteinte à leur disponibilité. Notre objectif principal était que les réseaux et les systèmes soient pleinement fonctionnels, même s'ils sont attaqués en permanence, et d'empêcher qu'on nuise à leur fonctionnement », explique-t-il.
Coopération avec le secteur privé
L'OTAN travaille aussi avec quelques-unes des plus grandes entreprises privées au monde, avec qui elle partage connaissances et expériences pour prévenir les menaces et y faire face, et pour être à même d'aider ses membres en cas d’attaque.
L’Alliance a notamment signé des accords de coopération avec un certain nombre d'entreprises privées afin d'améliorer collectivement la résilience et le niveau de sécurité des réseaux et systèmes OTAN (logiciels, serveurs, ordinateurs, routeurs, etc.). Nuri est chargé de réaliser des tests de pénétration pour s’assurer que les applications ou les systèmes à installer sur les différents réseaux de l'OTAN sont sûrs. Il aide à déceler les failles et incite les entreprises à les combler.
« Une bonne relation OTAN/entreprises privées est une relation où chacun est gagnant, car les tests que nous réalisons permettent à l’Alliance de sécuriser ou de protéger l'accès aux logiciels vulnérables, tout en offrant aux entreprises la possibilité de produire rapidement des mises à jour ou des solutions qui profitent à l’ensemble de la communauté TI », explique Nuri.
Sensibilisation aux risques
Nuri aime aussi faire des exposés et effectuer des démonstrations de piratage informatique à l'intention de l'OTAN et de sociétés extérieures, à l'occasion de diverses conférences sur la sécurité, notamment du symposium annuel de l’OTAN sur l'assurance de l'information (NIAS).
Le NIAS est un forum unique présentant les dernières expertises, défis et innovations en matière de cyberdéfense et d'assurance de l'information. L’objectif est de sensibiliser aux risques et de mettre ceux-ci en évidence, en expliquant aux participants comment, en pratique, ils peuvent être victimes de diverses cyberattaques.
Nuri ne croit pas à l'efficacité des campagnes de sensibilisation du style « Ne cliquez sur aucun lien ! » ou « N’ouvrez pas les pièces jointes ! », car les gens pensent généralement qu'ils ne seront jamais victimes de piratage.
« Je crois à l'apprentissage par la pratique », explique Nuri, avant d'ajouter : « Vous ne tirez la leçon que lorsque vous avez été personnellement touché. Tous les ans au NIAS, je propose donc une petite activité amusante, portant par exemple sur le « mur des moutons » (Wall of Sheep) de la DEFCON, au cours de laquelle nous menons diverses expériences visant à souligner que les professionnels de la sécurité se font encore piéger bêtement. »
Les cas qui sont mis en pratique lors des présentations de Nuri concernent les nouvelles formes de cybercriminalité sur les réseaux sociaux et les appareils mobiles. Selon le rapport 2012 de Norton sur la cybercriminalité, une personne connectée sur cinq (21 %) a été victime d'une attaque sur un réseau social ou un appareil mobile, et 39 % des utilisateurs de réseaux sociaux ont été victimes d'un cybercrime sur leur réseau.