Transcription

• Speaker #0

  Bonjour à toi. Aujourd'hui, on va décoller ensemble pour une histoire vraie et un crash de la vie réelle, celui de British Airways. Une faille, un mot de passe et plus de 400 000 clients dans la sauce. Dans cet épisode, je vais te raconter ce qui s'est vraiment passé, ce qu'on aurait pu éviter et comment la NIS2 aurait pu aider à éviter cela. Notre vol va traverser une zone de turbulence. Pour ta sécurité, retourne à ton siège, attache ta ceinture et surtout... Ouvre grand tes oreilles. Ce qui arrive secoue un peu, mais c'est du vécu. Bienvenue dans Compliance Without Comma, le podcast qui parle sécurité et normes ISO, risques et cybersécurité sans coma. A l'été 2018... Une violation de données a touché près de 400 000 clients de British Airways, dont près de 250 000 ont vu leur nom, adresse, numéro de carte de crédit et code de sécurité volé. L'attaquant a accédé au système de British Airways via le compte d'un fournisseur compromis, Swissport, et a renforcé ses privilèges après avoir découvert un mot de passe administrateur non sécurisé. Et là, c'est le premier effet "Kiss cool". Je te laisse aller voir les pubs pour la référence, il y en a quelques-unes très cultes. L'attaquant a volé des données que British Airways enregistrait de manière inappropriée, et a également redirigé les utilisateurs du site web de British Airways vers un site frauduleux, conçu pour voler davantage de données. Bon déjà, GDPR, PCI DSS, ça fait mal. Et là c'est le deuxième effet "Kiss cool". Outre la réputation, tu sais. l'actif qu'on oublie souvent de protéger en sécurité de l'information, British Airways a reçu une amende de près de 24 millions d'euros pour le data breach, donc la brèche de données au niveau RGPD. Et là, c'est trop tard. Pas de MFA, Multi-Factor Authentication, pas de filtrage, aucune règle de contexte, juste un login, et bam, Citrix ouvert comme une porte de garage. Tu ne connais pas Citrix ? On va dire que c'est un environnement virtualisé. un peu comme un bureau à distance pour accéder aux outils internes de l'entreprise. Sauf que là, la porte était grande ouverte. Mais ce n'est pas tout. Dans un des serveurs, qu'est-ce qu'il y trouve, notre attaquant ? Un fichier texte avec un mot de passe admin, en clair, tranquillement posé. C'était la clé. De là, il escalade les accès, sort du Citrix, et atterrit dans les systèmes internes de British Airways, là où vivent toutes les données clients et là où se cachent tous les paiements. Et ce n'est que le début. British Airways avait un outil de test pour un nouveau checkout. Un truc temporaire, censé être désactivé, non documenté. Mais surprise, il tourne depuis 3 ans. Et il loguait les données de carte bancaire, en clair. Le CVV inclus, tu sais, le code de validation au verso de ta carte. Donc pas chiffré, pas anonymisé, et personne ne le savait. L'attaquant récupère ce qu'il peut, plein de numéros de carte. Et ensuite... Il passe à l'étape supérieure. British Airways utilisait encore une bibliothèque JavaScript de 2012. Bingo ! Une faille connue. Je te rappelle qu'on est alors en 2018 et qu'elle est donc restée non patchée pendant 6 ans. Certains de mes confrères te mettraient une non-conformité majeure pour ça. Donc, injection de script malveillant dans le tunnel de paiement. Résultat, les clients pensaient acheter un billet d'avion. Leur donnée partait en temps réel. vers un faux domaine, des semaines entières avant que quelqu'un ne capte le souci. Bilan, 380 000 clients touchés, les 24 millions d'euros d'amende, un procès collectif historique et à mon avis un énorme mal de crâne pour le DPO. Et maintenant respire, parce que ce n'est pas une fiction. C'est réel, c'est documenté, et c'est arrivé à une boîte de 17 milliards de dollars. Alors, qu'est-ce qu'on en tire ? Leçon numéro 1. Ta chaîne d'approvisionnement, c'est ton talon d'Achille. Un prestataire mal protégé, c'est une brèche. Et si tu ne les audites pas, tu les supposes « secure » , n'est-ce pas ? Donc une petite checklist de base, fais des audits réguliers, ou demande-leur leur rapport d'audit, ou leur rapport de pen-test. Avoir des politiques de sécurité claires pour les fournisseurs, des outils de scoring de cybersécurité. Sinon, tu vois la vue, hein. Et ça finit par un crash. Leçon numéro 2. Ce ne sont pas les grosses erreurs qui te tuent. Ce sont les petites cumulées. Un événement peut... évoluer en incident voire en désastre. Un mot de passe en clair ? Pas de MFA. Authentication à multifacteur ? Un javascript non mis à jour ? Pris seul ça n'a l'air de rien mais ensemble BAM ça explose. Alors test ton système avec éventuellement des pen-test externes. Patch vite, applique les correctifs, révise les accès, vérifie tes logs et audite encore et toujours. Alors on est avant la NIS2 bien évidemment. Comment la NIS2 aurait pu éviter ce crash ? British Airways est donc dans le scope de NIS2 comme activité essentielle. Ils doivent s'assurer que leurs fournisseurs respectent certaines règles et se font imposer des tests d'intrusion, tout comme eux d'ailleurs. Si la NIS2 avait été mise en place et appliquée, la clause 1 de la chaîne de l'approvisionnement, on aurait eu, origine de la faille, un compte compromis chez eux, un sous-traitant, Swissport, et qui est fournisseur critique en plus, donc inclus indirectement dans la NIS2. La NIS2, je te rappelle, impose une analyse des risques liés au fournisseur critique, et leur cybersécurité doit être vérifiable. Ici, un audit fournisseur ou une obligation de MFA contractuelle aurait pu tout bloquer. Deuxième point, obligation de politique d'accès et de contrôle. Un mot de passe admin en clair sur un serveur Citrix, La NIS2 exige des politiques robustes de gestion des accès et de prévention contre les mauvaises pratiques. Stockage en clair ? Inacceptable. Troisième point, gouvernance et RACI clair. RACI, c'est la matrice de décision pour R, responsible, A, accountable, C, consulted et I, informed. Qui est responsable de la revue des outils de test ? NIS2 oblige les dirigeants à valider et superviser les politiques de sécurité. Pas de « c'était un oubli technique » . Ce n'est pas acceptable ici. La direction ne peut plus se cacher derrière l'IT. Le point numéro 4, la journalisation, la supervision et la détection. Le système loguait quand même des cartes bancaires pendant 3 ans sans que personne ne s'en rende compte. La NIS2 impose la détection d'anomalies, la revue des logs et l'analyse des événements critiques. Un bon système SIEM, pour Security Incident and Event Management, aurait dû ou aurait pu Remonter l'alerte. 5. Obligation de notification rapide. British Airways a été alerté par un tiers puis a mis 24 heures à réagir. NIS2 exige une notification en 24 heures à l'Agence Nationale de Sécurité Locale. Un rapport technique complet sous 72 heures et une communication finale sous un mois. 6. Sanctions dissuasives. Sous NIS2, les amendes vont jusqu'à 10 millions d'euros. Oui, tu vas me dire, mais British Airways, avec ses 24 millions, ça dépasse déjà. Sauf que ça peut être un ou 2% du chiffre d'affaires mondial. Et je l'ai calculé pour toi. C'est-à-dire que c'est 340 millions d'amende potentielle pour British Airways aujourd'hui, si ça se reproduit. OK ? C'est plus 24 millions. Donc j'aime autant te dire que le "due care", le "due diligence" des dirigeants, dans ce cas-là, devrait faire évoluer les choses. Et d'ailleurs, ça me donne une autre idée de podcast. Bref. De quoi motiver un vrai budget cyber en amont, tu ne penses pas ? Bon, le point numéro 7, on arrive avec nos tests réguliers de sécurité et d'intrusion. British Airways avait un outil de test, mais en prod et sans supervision. Et personne n'a vu la faille JavaScript de 2012. 6 ans sans revoir les vulnérabilités d'un système, bravo, il est où ton process ? C'est effectivement une non-confirmité majeure tout ça. La NIS2 te demande des évaluations techniques régulières, notamment des tests de vulnérabilité, des analyses d'écart, des tests d'intrusion réaliste. Donc on va parler de pentest sérieux, qui peut être blackbox ou graybox. Il aurait pu identifier le stockage de cartes bancaires en clair, le mot de passe admin exposé, la librairie javascript vulnérable depuis 6 ans, et également le tunnel vers un faux domaine British Airways. dot com avec une petite attaque homographique derrière. Et si tu fais un test, mais que tu ne corriges rien derrière, et bien alors, tu coches la case, mais tu restes dans la caverne de Platon. Oui, souviens-toi l'épisode 5 sur le mythe de la caverne. En conclusion, je suis convaincu que toutes ces régulations en Europe partent dans la bonne direction. Oui, je sais, c'est embêtant. Oui, c'est un frein à la croissance pour certains. Je te rappelle qu'on met des freins à une voiture pour aller plus vite. Ben oui, si j'ai pas de freins à ma voiture, je roule pas à 120 km sur l'autoroute. C'est l'assurance que je peux m'arrêter à temps ou éviter le pire. Et je parle là, à ce moment-là, d'accident ou de crash. Tu vois, ce n'est pas être compliant pour dire d'être compliant NIS2, ou juste certifié ISO 27001. Comme on peut l'entendre autour de nous, avec des gens qui traînent les pieds, non, ce n'est pas de ça que je te parle. C'est de se servir de cela comme outil pour gérer nos propres risques et toujours penser à s'améliorer. On coupe ton budget de CISO ? Ok. place ceci en risque dans ton "risk register" qu'est-ce que 500K€ cas ou 100K€ d'investis et pas dépensés face à dix millions d'amendes ou deux pour cent de ton chiffre d'affaires mondial renvoie ta direction vers ses devoirs "due diligence" ainsi ils connaîtront le risque et nous pourrons le nier d'ailleurs ça me fait songer à un qui a nié les risques tu le connais façon de parler c'est le capitaine du titanic "monsieur On a des risques d'iceberg". Ok, full throttle, je veux arriver vite. La suite, vous la connaissez aussi. Tu es responsable de ton écosystème, mais aussi de tes outils, de tes partenaires, de tes scripts oubliés. Si tes fournisseurs sont faibles, tu l'es aussi. Si tu ne fixes pas la barre, personne ne le fera. Dans ce monde, la confiance, ça ne se donne pas. Ça se mérite et ça se vérifie. Évite les bad buzz. Il faut des années pour bâtir une réputation. et quelques secondes pour la détruire. Alors, si t'es dans une société ou une institution publique qui pense encore que NIS2 c'est du vent, tu peux encore attendre. Attendre de sentir le souffle chaud de ton régulateur ou autorité dans ta nuque. Mais tu n'as pas le choix. Mets cela en place dès maintenant. Et sinon, tu peux leur partager cet épisode. Si t'as aimé cet épisode, je t'invite à laisser 5 étoiles sur Spotify ou Apple. Ça m'aide et ça permet également à ce podcast de continuer à grimper tout doucement dans les "charts". D'ailleurs, j'ai laissé un petit poll sur Spotify. La NIS2, tu la vois comme une opportunité pour structurer, une contrainte de plus, un mal nécessaire, une blague administrative. À toi de me dire, c'est Anonyme en plus. À très vite.