Cybersécurité

Navigation entièrement encapsulée pour les institutions publiques

Pourquoi les autorités publiques et les municipalités utilisent le R&S®Browser in the Box pour se protéger contre les cybercriminels professionnels

Un logiciel malveillant cause des milliards de préjudices. L'une des principales passerelles est le navigateur internet. Un logiciel antivirus classique ne convient pas, la plupart du temps, aux méthodes qu'utilisent les professionnels du vol de données, les espions et les saboteurs. Les autorités publiques et les municipalités, comme par exemple Dresden, la capitale de la Saxe, utilisent déjà le navigateur virtuel de Rohde & Schwarz Cybersecurity afin de répondre à leurs exigences strictes en termes de cybersécurité.

La cible principale des logiciels malveillants : Windows

Dans un document de 80 pages, l'agence fédérale dédiée à la sécurité des systèmes d'information (BSI) établit le portrait de la situation de la sécurité informatique en Allemagne au cours de l'année 2019. Plus simplement, c'est du sérieux. Le nombre d'attaques est en très forte hausse, et elles deviennent de plus en plus sophistiquées. Selon le BSI, 114 nouvelles variantes de logiciels malveillants ont été référencées en un an, dont 65 millions ciblant le système d'exploitation Windows. En moyenne, le BSI a identifié 6100 attaques par mois qui ne pourraient pas être détectées ou bloquées avec l'installation de produits de protection classiques.

Les gangs utilisent des technologies innovantes

Rien qu'en Allemagne, le préjudice est d'environ 100 milliards d'euros par an, selon les récents calculs de l'association industrielle Bitkom. Dans le rapport "Economic Impact of Cybercrime – No Slowing Down" (impact économique de la cybercriminalité – aucun ralentissement) publié par le CSIS (Center for Strategic and International Studies), un groupe de réflexion américain, le préjudice mondial a été estimé aux alentours de 600 milliards de dollars, soit 155 milliards de dollars de plus qu'en 2014. Le rapport attribut cette croissance accélérée à l'utilisation des nouvelles technologies par les cybergangs et au déploiement continu du modèle d'activité "la cybercriminalité en tant que service".

Aucun pare-feu ne peut arrêter Emotet

Les experts du BSI citent un nouveau logiciel malveillant appelé Emotet comme étant un exemple parfait de l'expertise croissante des cybercriminels d'aujourd'hui. Ce logiciel malveillant est connu depuis des années, mais en novembre 2018 il s'est soudainement répandu de manière massive à cause de documents Office malveillants. L'évolution de Emotet peut particulièrement être observée au niveau des nouvelles fonctionnalités comme Outlook harvesting, qui lui permet d'envoyer des spams qui semblent étonnamment réels.

Le logiciel malveillant lit les coordonnées et, depuis peu, les courriels dans les boîtes mail des systèmes infectés. Les criminels utilisent ces informations pour augmenter la prolifération de logiciels malveillants au sein d'autres campagnes de spams. Cela signifie que les destinataires reçoivent de faux courriels de la part des expéditeurs avec lesquels ils ont récemment été en contact. Le BSI s'attend à une augmentation de ce type d'attaques de manipulations sociales automatisées, que les destinataires sont à peine capables d'identifier comme telles. En cas d'attaques de type "spear phishing", le contenu du message est adapté à des cibles particulièrement importantes. Des courriels contenant ce logiciel malveillant font par conséquent parties des attaques les plus fréquemment détectées, par exemple des attaques contre les agences gouvernementales fédérales allemandes.

Les pare-feux et les logiciels antivirus, qui sont les solutions classiques, ne sont pas adaptés aux chevaux de Troie modernes (Trojan), aux vers et autres logiciels malveillants, car l'approche classique par liste noire ne bloque que les dangers connus. Les mesures de sécurité des vendeurs de systèmes d'exploitation ne fournissent pas non plus une protection adaptée. Certaines autorités publiques se protègent encore elles-mêmes, en isolant complètement les ordinateurs qu'elles utilisent pour naviguer à partir de leur propre système d'exploitation et de leur intranet. La conséquence inévitable est que les échanges avec le monde numérique extérieur sont massivement restreints.

"Le navigateur le plus sécurisé au monde"

Clemens Schulz, Directeur du secteur Desktop Security chez Rohde & Schwarz Cybersecurity, a joué un rôle important dans le développement du logiciel qui encapsule entièrement le navigateur de l'utilisateur depuis son propre environnement, sans restreindre l'accès de l'utilisateur au monde numérique extérieur : le R&S®Browser in the Box. Schulz dit , "La passerelle est encore la personne." C'est pourquoi il est si important de ne pas compter exclusivement sur la bonne éducation des utilisateurs au sein de l'entreprise, mais également d'utiliser la meilleure technologie pour éviter l'importation accidentelle ou involontaire de logiciels malveillants. Au lieu de réagir à un logiciel malveillant, l'intrusion du logiciel malveillant devrait être empêchée de manière proactive. De nos jours, il suffit d'ouvrir un site internet pour activer un téléchargement dynamique (drive-by), par exemple via des bannières.

Le développement du R&S®Browser in the Box représente un changement de modèle, de la même manière que ce qui s'est passé dans l'industrie automobile. Au début des années 1950, les effets des accidents sur les occupants des véhicules auraient pu être réduits à l'aide des airbags. Plusieurs années plus tard, l'introduction du contrôle de sécurité électronique (ESC) a grandement contribué à éviter des accidents. Comme l'ESC au sein des véhicules, le R&S®Browser in the Box empêche les infections de logiciels malveillants. Cela s'appelle la sécurité par conception. Les services de télémétrie sont également incapables de s’emparer des données du navigateur, et le téléchargement de logiciels malveillants à partir des fichiers joints est également impossible. Le magazine industriel Chip a cité le R&S®Browser in the Box comme étant "le navigateur le plus sécurisé au monde".

L'initiative du développement de ce genre de logiciels dédiés à une sécurité totale des autorités publiques provient du BSI. Presque tous les bureaux de police de Baden-Württemberg, en Allemagne, ont été parmi les premiers utilisateurs. Bien avant l'introduction de la GDPR (General Data Protection Regulation), les autorités publiques municipales en Allemagne étaient obligées de protéger les données des citoyens sur leurs supports de stockage. Et bien avant la mise en œuvre de la GDPR européenne, la ville de Dresden a mis à niveau son équipement afin de sécuriser ses ordinateurs avec le R&S®Browser in the Box.

Quand le ministère de la santé fait des recherches ...

Le ministère de la santé est un exemple. Kay Hirschfeld, un administrateur au sein du gouvernement municipal de Dresden responsable de la cybersécurité, identifie les zones sensibles où les employés doivent être en mesure de faire des recherches en toute sécurité. Par exemple, ils doivent pouvoir contacter des professionnels du sexe afin de mener des campagnes d'information. Ils doivent pouvoir accéder à des forums dédiés aux partenaires de même sexe, par exemple pour attirer l'attention sur la possibilités de faire des dépistages gratuits et anonymes du sida. Dans tous les cas, les données personnelles doivent être cryptées et pseudonymisées, puis les délais de protection et de suppression des données doivent être respectés. Les activités de recherche en ligne doivent particulièrement être séparées du système interne, afin que personne ne puisse utiliser le navigateur pour accéder au système d'exploitation sur lequel les données personnelles sont traitées.

La situation est similaire pour les enregistrements des armes. Jusqu'à récemment, les armureries (environ 550 au total) utilisaient une large variété de systèmes pour traiter leurs données, dans certains cas sur des fiches au lieu du numérique. Lorsque, du fait de la directive européenne associée, les données de toutes les armureries ont dû être consolidées, à savoir harmonisées et stockées dans un système central, le risque a augmenté. Comme l'explique Hirschfeld, "Ainsi, à partir d'une seule passerelle, les pirates informatiques ne pourraient accéder qu'à des données de qualité moindre et peut être même à une quantité moindre des données." Un aspect important pour l'expert en sécurité informatique, c'est que malgré l'encapsulation de leur propre système d'exploitation, les échanges avec internet fonctionnent quasiment aussi vite qu'avec un système protégé normalement. Avec la bonne configuration, il se charge même discrètement lorsque Windows démarre.

La sécurité multicouches est la clé

Le système d'exploitation et l'intranet restent complètement séparés du navigateur internet tandis que l'application est exécutée. Les données télémétriques ne sont plus envoyées aux fabricants. Il s'agit de métadonnées à propos du document, du client concerné et de son utilisation. Avec ces informations, des données confidentielles pourraient également être volées sans que cela ne se remarque. Le navigateur fonctionne sur une plateforme entièrement virtuelle sans impact notable sur les utilisateurs, car leur navigateur se comporte comme d'habitude. La fonctionnalité "Docs in the Box" permet également de vérifier les pièces jointes aux courriels qui pourraient contenir des virus, dans une fenêtre de prévisualisation de l'environnement virtuel.

Tout ceci repose sur un système Linux. Schulz explique : "Le système d'exploitation open source est supprimé, de sorte que seul le navigateur puisse y être exécuté." De plus, le flux de données est crypté du début à la fin par un tunnel VPN en utilisant la passerelle R&S®Trusted VPN. Comme le souligne Schulz, aucun autre fournisseur au monde ne propose ce genre d'encapsulation complète du réseau et du navigateur avec le maintien complet des fonctionnalités.

Le facteur humain

Avec le R&S®Browser in the Box, les utilisateurs individuels autorisés sont libérés de la responsabilité qui leur incombe de vérifier personnellement chaque site unitairement. Néanmoins, Kay Hirschfeld de Dresden avertit, "Le plus grand danger n'est pas les pirates informatiques, mais sûrement les employés négligents, voire mécontents, ayant des droits d'accès appropriés." Les solutions techniques sont moins puissantes face aux espions qui font sortir des données de l'entreprise, mais sans aucune solution technique vous avez perdu avant même de commencer.