Vous souvenez-vous de cette scène de Mission Impossible, avec Tom Cruise pendu au plafond pour tenter de voler les données d’un ordinateur caché dans un coffre-fort top secret au siège de la CIA ? Vu d’aujourd’hui, on peut se demander pourquoi il se donne tant de mal à ramper dans les conduits d’aération et à risquer de se rompre le cou. Ne suffisait-il pas de pirater la machine ? Eh bien non. Car ce système de la CIA est doté d’une isolation physique. C’est un ordinateur autonome, qui n’est relié à aucun réseau. Pour l’utiliser, il faut se trouver dans cette pièce hautement sécurisée. Du moins, c’était l’idée.
Il est facile de se moquer d’Hollywood et de ses excès. Pourtant, le film reflète bien une idée courante à l’époque, à savoir que la meilleure stratégie de sécurité consisterait à isoler physiquement un système de toute personne tentant d’y accéder. Mais les choses ont changé. Les isolations physiques existent toujours. Certaines entreprises en ont absolument besoin ; mais dans la pratique, mettre en place et conserver une isolation physique est devenu bien difficile ces vingt dernières années. Pour comprendre toute l’importance de cette méthode, il faut prendre le temps de définir le concept et d’explorer ce qui fonctionne et ne fonctionne pas.
Définir l’Air Gap (isolation physique)
Une isolation physique est une contre-mesure de sécurité qui repose sur une idée simple : constituer une barrière impénétrable entre un système numérique et un facteur nuisible. Il peut s’agir d’un pirate, d’un virus, d’une personne en interne, mais aussi d’une surtension ou d’une catastrophe naturelle — en somme, de toute force menaçant la ressource numérique concernée. Comme son nom l’indique, l’isolation physique, sous sa forme la plus simple, consiste à couper l’ensemble des connexions réseau d’un système numérique et à mettre de la distance entre ce dernier et toute personne souhaitant y accéder.
Il est intéressant de constater que le concept d’isolation physique existe dans d’autres domaines. Par exemple, dans la construction, les documents techniques unifiés prescrivent une telle isolation entre les arrivées et les sorties d’eau. De même, les règles électrotechniques imposent un espace entre les pièces mobiles d’un moteur électrique.
L’isolation physique résout deux scénarios de sécurité fondamentaux. D’une part, elle protège les réseaux et les systèmes contre les intrusions. D’autre part, elle préserve les actifs numériques de la destruction et des tentatives d’accès ou de manipulation. Ces deux objectifs, s’ils se rejoignent parfois, sont bien distincts. La mise en place d’une isolation physique peut traduire l’un ou l’autre. Ainsi, stocker des bandes de sauvegarde stockées dans une mine de sel est un moyen de protéger les données contre tout accès non autorisé. Il n’y a pas de système à compromettre. Généralement, l’isolation physique est bien utile en matière de sauvegarde de données. L’idée est la suivante : si les systèmes sont compromis ou détruits, ils peuvent être restaurés à partir des données mises en sûreté dans un environnement isolé physiquement.
À raison ou à tort, nombreux sont les professionnels de la sécurité qui considèrent l’isolation physique comme la contre-mesure ultime. Après tout, si la menace ne peut même pas accéder au système ou au réseau, comment pourrait-elle l’endommager ? Les logiciels malveillants qui pullulent sur Internet ne parviennent pas à entrer dans un tel système. Les pirates sont incapables d’y pénétrer pour en prendre le contrôle. Et de fait, les isolations physiques sont courantes dans les environnements de haute sécurité - dans l’armée, le secteur financier ou les services de distribution d’énergie. Parfois même, les règles de sécurité des organisations concernées imposent l’utilisation de tels procédés.
Types d’ Air Gaps (isolations physiques)
Il existe de nombreuses variations autour du thème de l’isolation physique. À haut niveau, il en existe essentiellement trois types :
L’isolation physique totale — C’est l’exemple de la mine de sel, qui implique d’enfermer des actifs numériques dans un environnement physique entièrement isolé, distinct de tout système connecté à un réseau. La ressource numérique n’est ainsi reliée à rien. Lorsque quelqu’un souhaite en extraire ou y enregistrer des données, il doit aller le faire en personne - un processus qui impose de passer plusieurs obstacles de sécurité physiques.
La ségrégation au sein d’un même environnement — L’isolation physique peut être obtenue par simple déconnexion entre l’appareil et le réseau. On peut ainsi avoir deux serveurs sur le même rack, mais isolés physiquement l’un de l’autre car l’un des deux n’est pas branché au réseau.
L’isolation logique — C’est la ségrégation et la protection, au moyen de processus logiques, d’un système numérique relié à un réseau. Par exemple, le chiffrement et le hachage, associés à un contrôle d'accès basé sur les rôles, assurent le même résultat en matière de sécurité qu’une isolation physique. Même si quelqu’un parvient à accéder à la ressource numérique protégée, il n’est pas en mesure de la comprendre, de la voler ou de la modifier.
Critiques vis-à-vis de l’isolation physique
Une certaine école de pensée, très répandue aujourd’hui en cybersécurité, soutient que l’isolation physique en tant que telle n’existe plus actuellement. On pourrait croire qu’il s’agit d’une généralisation abusive ; or, il y a du vrai dans cette idée. Le problème réside notamment dans l’omniprésence d’Internet. Si l’on considère les milliards d’appareils qui y sont connectés, ainsi que les connexions entre ces appareils, il est très probable qu’un système prétendument isolé physiquement dispose en réalité d’une liaison à Internet dont personne n’a conscience.
De fait, lorsque les organisations déploient des outils d’analyse des terminaux pour faire l’inventaire de tous leurs appareils connectés au réseau, ils découvrent invariablement des équipements dont tout le monde ignorait jusqu’à l’existence. Si l’on inclut les connexions sans fil dans cette analyse, il devient possible d’imaginer encore plus de lacunes dans la stratégie de l’isolation physique. Un système peut être distinct physiquement mais connecté à distance - cette même distance supposée le protéger de tout accès. De surcroît, les pirates utilisent aujourd’hui des technologies de « reniflage » sans fil ultra sophistiquées pour glaner des données dans des systèmes par ailleurs physiquement isolés.
Défis de l’air gap
L’isolation physique n’est pas simple à mettre en place et à entretenir. Outre la menace des connexions accidentelles et des pirates entreprenants, elle pâtit des divers risques humains. Principal problème : les entrées/sorties. Isolation physique ou non, les utilisateurs ont généralement besoin d’ajouter, de modifier ou de télécharger des données, aussi bien dans les systèmes de sauvegarde qu’en production. De ce fait, la plupart des isolations physiques traditionnelles impliquent ce qu’on appelle communément un « sneakernet », c’est-à-dire une méthode de transfert de données via des moyens physiques tels qu’un dongle WiFi ou un port USB.
Et la nature humaine fait son œuvre. Les utilisateurs les mieux intentionnés peuvent laisser, accidentellement, des portes ouvertes ou des ports USB non protégés. Par paresse, ils peuvent négliger les procédures de sécurité. Ce risque se manifeste, par exemple, sur les navires de commerce et de guerre, dont les commandes mécaniques et les systèmes de navigation sont, par définition, isolés physiquement, et généralement non relié à Internet (bien que cela commence à changer). Une fois que le navire est amarré au port, cependant, une personne mal intentionnée peut y accéder pour insérer un logiciel malveillant dans le système à l’aide d’une clé USB. En cas de maintenance, avec les centaines d’ouvriers sans accréditation à bord alors que l’équipage est à terre, on voit bien à quel point l’isolation physique est fragile.
D’autre part, une attaque de la chaîne logistique peut pénétrer un système isolé physiquement via son logiciel d’exploitation. C’est ainsi qu’un assaillant non identifié a pu introduire un malware sur un site nucléaire iranien pourtant souterrain, complètement coupé du monde extérieur et gardé par des soldats. En implantant le virus Stuxnet dans une mise à jour d’un système de contrôle-commande, il a franchi l’isolation physique et détruit les centrifugeuses chargées d’enrichir l’uranium.
L’ingénierie sociale et les menaces internes peuvent également passer outre une isolation physique. Les pirates qui ont besoin d’accéder physiquement à un site pour s’introduire dans un environnement sont généralement assez intelligents pour entrer par la ruse, par exemple en se faisant passer pour d’authentiques salariés (rappelez-vous de Tom Cruise qui arrive déguisé en pompier). Quant aux menaces internes, elles sont permanentes, si désagréable soit cette perspective.
Pour toutes ces raisons, le chiffrement des données au repos est une contre-mesure efficace à utiliser en conjonction avec l’isolation physique. Si un attaquant souhaite vraiment accéder à un système ainsi protégé, il y parviendra sûrement. Mieux vaut donc s’assurer que les données qu’il pourra voler, quelles qu’elles soient, lui soient complètement inutiles.
Conclusion : intégrer l’isolation logique à une stratégie de cyberdéfense viable
Aujourd’hui, il importe d’avoir un regard réaliste sur l’isolation physique. Elle peut fonctionner, et même se révéler très efficace dans certaines circonstances. Cependant, il est essentiel de ne pas croire, de manière simpliste, qu’elle est un gage absolu de sécurité. Ce n’est tout bonnement plus vrai.
Mieux vaut réfléchir soigneusement aux objectifs, aux risques et aux vulnérabilités d’un scénario donné. Par exemple, si l’objectif est de protéger des sauvegardes, il est essentiel de mettre en place un chiffrement pour que l’isolation physique soit viable. Par ailleurs, une isolation logique peut être la meilleure solution. La séparation physique n’est pas forcément requise. En somme, cette stratégie constitue une ligne de défense informatique robuste à condition d’être correctement mise en place.