skip to Main Content
01 83 79 95 95 contact@voxy.fr

Connexions à distance : quelle type de solution choisir ?

connexionDurant tout le temps où votre entreprise est connectée à Internet (c’est-à-dire en permanence), elle fait l’objet d’innombrables tentatives d’intrusion (plusieurs centaines voire milliers chaque heure du jour et de la nuit). En effet, des programmes malveillants sont diffusés sur de très nombreux ordinateurs dispersés dans le monde ; leur rôle est de parcourir le plus possible de systèmes pour tenter d’y trouver une porte d’accès, se propager et ainsi fournir à leurs auteurs toujours plus de codes d’accès. Ils en trouvent beaucoup !

Les connexions à distance constituent des proies très intéressantes pour tous les pirates : elles permettent de s’introduire au cœur d’un système d’information avec les droits d’accès parfois étendus de vos collaborateurs, et le plus souvent ne sont pas détectées. Il est donc possible de les exploiter durant de longues périodes ce qui augmente encore le péril.

Les méthodes d’intrusion les plus courantes sont les suivantes :

  • recherche des ports ouverts (protocoles TCP/IP pour lesquels le firewall de votre entreprise ou ceux de vos collaborateurs à domicile autorise des requêtes entrantes et auxquelles les ordinateurs répondent) : on peut ainsi exploiter les très nombreuses failles de sécurité des systèmes d’exploitation et des principaux logiciels du marché ;
  • diffusion d’un virus ou d’un ver (dans une pièce jointe ou une page Web) : un programme malveillant comportant un cheval de Troie se propage et retransmet vers son auteur des informations relatives aux modes de connexion et les codes d’accès associés
  • « écoute » des échanges :
    – où qu’ils se trouvent les utilisateurs peuvent être filmés
    – les ordinateurs en libre-service peuvent être sous surveillance
    – les connexions Wi-Fi peuvent être captées à plusieurs dizaines de mètres
    – les clés de sécurité peuvent être découvertes en quelques minutes ;
    dans les lieux publics, parmi les proches de vos collaborateurs ou dans le voisinage immédiat de votre entreprise peut se trouver un hacker, qui se fera une gloire de pénétrer un réseau domestique ou professionnel pour voir s’il peut atteindre d’autres réseaux en quête de renseignements qui pourraient lui rapporter de l’argent ou le rendre célèbre
  • les attaques ciblées : qui peuvent être commanditées par des états, des organisations criminelles, des associations prétendant œuvrer pour de justes motifs, ou un concurrent très déterminé. Ces attaques peuvent employer de multiples procédés pour parvenir à pénétrer le cœur d’un système d’information. Parmi ces méthodes figurent d’une part celles mentionnées plus haut, mais également toutes sortes de procédés plus ou moins frauduleux pouvant inclure la fouille des poubelles, le vol de données (disques durs, CD, DVD, bandes magnétiques …), le vol d’ordinateurs, ainsi que la menace ou le chantage auprès des employés et dirigeants de l’entreprise visée.

Les trois premières méthodes sont les plus fréquents mais pas forcément les plus dangereux pour votre entreprise. Le plus souvent leurs auteurs sont motivés par le gain : collecte d’adresses de messagerie, de codes d’accès ou de coordonnées bancaires à grande échelle. Cependant on ne pas pas exclure qu’un malware provoque des dégâts importants sur un serveur (paralysie ou corruption du système ou des données) ou que les codes d’accès obtenus soient revendus à des professionnels souhaitant conduire des attaques ciblées.

Il est illusoire de croire qu’on puisse se protéger efficacement des attaques ciblées : des professionnels déterminés parviendront presqu’à coup sûr à leurs fins. Même si votre activité ne constitue pas a priori une cible privilégiée, elle peut être visée parce qu’elle est vulnérable ou semble l’être. Il en est de même que pour les cambriolages : les voleurs préfèrent les cibles faciles ! Par conséquent il est pertinent de se protéger « un peu plus » que la moyenne. Multiplier les défenses en est un bon moyen.

Pour donner accès à distance à leurs collaborateurs, la majeure partie des entreprises se contente d’identification par mot de passe (voir aussi notre article à ce sujet) sur des connexions web (HTTPS/SSL). Un mot de passe même complexe constitue une protection faible puisqu’il suffit d’observer le clavier (keylogger ou caméra) pour découvrir un mot de passe, et surtout, il est si répandu que les pirates qui s’y attaquent sont de plus en plus nombreux et efficaces.

Il est préférable de protéger davantage les connexions à distance, en considérant notamment :
– que les attaques vont continuer d’augmenter en nombre et en sophistication
– que les règlements en matière de protection des données vont devenir plus contraignants
– que la perception du risque varie entre les individus et dans le temps (pour certains il devient moins acceptable, pour d’autres les contraintes deviennent moins supportables).

Les meilleurs protections reposent sur une identification multifactorielle, c’est-à-dire qui réclament au moins 2 voire 3 ou 4 éléments de preuve d’identité : à savoir 2, 3 ou 4 éléments parmi les choses que l’utilisateur :
– sait (son mot de passe ou des questions dont il connaît les réponses)
– possède (son ordinateur ou un dispositif matériel qu’il peut conserver sur lui)
– est (par reconnaissance de son empreinte digitale, de sa voix, de son visage …)
– fait (il tente de se connecter à certains moments et y parvient presque toujours, il utilise exclusivement tels programmes ou tel sous-ensemble de données).
Les programmes malveillants sont rarement à même de rassembler autant d’informations, et les pirates abandonnent le plus souvent leurs recherches lorsqu’ils découvrent que les obstacles sont multiples (comme les cambrioleurs sont dissuadés par l’accumulation de systèmes de défense et d’alarme).

D’autre part, les contrôles ne sont efficaces que si ces éléments de preuve d’identité sont suffisamment complexes : un mot de passe trop simple, une clé facile à dupliquer ne constituent pas un obstacle pour les pirates.

Enfin, il faut que le système d’identification retenu reste simple et pratique pour les utilisateurs et pour les gestionnaires : une politique de sécurité trop lourde induit inévitablement une baisse de la vigilance voire des comportements laxistes.

Si vous devez choisir un système de connexion sécurisé pour votre entreprise (client VPN, SSH ou connexion SSL ), nous vous recommandons de préférer autant que possible les options suivantes :

  • connexion utilisable seulement depuis un matériel fourni par l’entreprise (étant entendu que ce matériel doit être bien protégé contre les malwares), grâce à l’installation d’un logiciel client (VPN ou SSH) et/ou de clés de sécurité (si possible non copiables)
  • connexion nécessitant des clés matérielles (comme par exemple des clés USB sur lesquelles sont enregistrées un code spécifique pour chaque collaborateur), si possible non copiables (ou dont une copie serait reconnue comme telle, donc invalide)
  • codes d’accès distincts pour chaque collaborateur et mots de passe suffisamment complexes imposés par le système d’accès,
  • système invalidant temporairement ou définitivement l’accès d’un collaborateur lorsque plusieurs codes d’accès incorrects ont été essayés successivement
  • système réclamant des codes d’accès différents à chaque connexion ou valides seulement pour une courte période (OTP : One Time Password) : cela peut être des codes fournis sur un document écrit que vous conservez sur vous, ou bien un petit appareil de poche affichant le prochain mot de passe attendu par le système d’accès.

Comme dans tous les domaines de la sécurité, la surveillance et le suivi sont indispensables : les firewalls, les serveurs d’accès, les filtres antivirus et antispam conservent des informations synthétiques sur les tentatives, les utilisateurs et les durées des connexions. Ces données doivent être examinées régulièrement (au moins une fois par semaine) pour pouvoir détecter une activité anormale et réagir aussitôt. Sinon, le temps joue en faveur des pirates. De plus, il existe des solutions de protection et de détection (IPS Intrusion Prevention System ou IDS Intrusion Detection System), sujet que nous aborderons prochainement dans un nouvel article.

Certains produits interdisent l’utilisation d’Internet durant la connexion à l’entreprise. Cette précaution est utile mais n’est pas primordiale : pour ne pas dépendre de connexions simultanées, les pirates préfèrent généralement implanter des chevaux de Troie qui leur garantissent de récupérer les informations voulues en différé.

Les « pots de miel » (ordinateurs ou logiciels exposés volontairement aux pirates pour détourner leurs attaques et observer leurs essais) ne sont recommandés que pour des entreprises disposant de toute l’expertise nécessaire. Dans le cas contraire, ils attirent des tentatives plus nombreuses qui finissent inévitablement par détecter de vraies vulnérabilités parmi les ordinateurs voisins.

VOXY met en œuvre plusieurs solutions d’accès, moins vulnérables que certains standards du marché mais néanmoins simples à utiliser et exploiter, et adaptées au niveau de sécurité requis par l’entreprise en tenant compte :
– de la confidentialité des données à protéger
– d’une évaluation rationnelle du risque à long terme.

Back To Top
Rechercher