« Un observatoire de services n’est pas intéressant pour un business », c’est le commentaire que j’ai reçu quand j’ai déployé la version bêta du site infosec.ma il y a quelques jours, et c’est dans cet but que j’ai voulu expliquer la raison d’être de l’observatoire des services informatiques déployés au niveau du royaume du Maroc et exposés sur internet.

Le risque d’un service exposé sur internet

can't get hacked

En bref un service accessible depuis internet est une interface d’attaque pour les pirates informatiques, je m’explique: un service qui tourne sur votre serveur et qui est accessible à distance peut être attaqué, certains vous affirmeront que « si les hackers ignorent l’existence de ce serveur / nom de domaine / sous-domaine il n’y a rien à craindre », cet argument en fait me rappelle un des principes de Kerckhoffs concernant la cryptographie militaire et qui explique qu’un système de cryptographie ne doit pas exiger le secret et qu’il puisse tomber dans les mains de l’ennemi sans inconvénient, le même principe s’applique dans notre cas car il faut se préparer à ce que votre service soit découvert et attaqué comme nous l’affirme la loi de Murphy (L’incident de Amazon AWS 3 est un bon exemple du fait que: Tout ce qui est susceptible de mal tourner tournera nécessairement mal).

D’autre vous informeront qu’il suffit de mettre vos services et systèmes d’exploitation à jour pour que vous soyez protégés, dans la majorité des cas c’est vrai, mais il reste les failles de sécurité dites zero-day (non connues par le créateur du logiciel et alors non corrigées), certes dans la plupart des cas ce n’est pas nécessaire de se soucier de ce genre de vulnérabilités.

Par-contre certains services critiques surtout dans le domaine industriel ou dans les infrastructures vitales (les dispositifs de traitement d’eau, d’annonces de crue, de contrôle de ponts et des barrages…) ne devraient pas prendre le risque d’être accessible depuis internet, malheureusement beaucoup le sont: Systèmes industriels.

Mais c’est quoi l’objectif de cet observatoire?

Les « critiques » vis-à-vis ce ce genre de choses ici au Maroc sont deux:

  • On sait qu’il y a un problème mais il ne faut pointer de doigt les défauts de notre pays.
  • Si tu vois un problème corrige le, sinon si tu ne peut pas tais toi.

La première c’est du faux nationalisme (on ne peut pas défendre notre pays juste avec des mensonges et l’illusion que tout va pour le mieux dans le plus beau pays du monde), la deuxième est vraie mais malheureusement nous n’avons ni le pouvoir, ni le budget, ni le temps qui sont nécessaires pour corriger cette issue alors nous informons les gens pour que les personnes qui ont les ressources nécessaires se tournent vers ce problème.

Alors l’objectif est de montrer qu’il y a un problème pour qu’on puisse commencer à travailler sur une solution.

Laisser un commentaire