Bonjour,
Le 19/10/2021 à 18:31, Arnaud Mombrial a écrit :
Bonjour Maxime,
Je me permets une petite remarque pour rebondir sur ta phrase : le risque
existe.
Pour qu'un risque existe, il faut la concordance de plusieurs éléments.
Qu'un incident ait lieu, qu'il ait un impact sous le prisme des critères de sécurité
(Confidentialité, Intégrité, Disponibilité) et également des conséquences
(réputation, finance)
Si on regarde de plus près ce qu'est un incident de sécurité : un actif (un ordiphone
par ex), disposant d'une vulnérabilité, exploitée par une menace (un attaquant).
Dans le cas présent :
* Est-ce qu'il existe des ransomwares sous BSD ? À ma connaissance non (mais je
n'ai pas tout vu / entendu / je peux me tromper) => Pas de risque pour le moment (et
tout ça peut changer très vite)
* Est-ce qu'il existe des ransomwares sous Win$$ ? À ma connaissance oui :D =>
Risque à traiter (en priorité si possible).
Dans ton cas, je préfèrerais clairement sécuriser la plateforme la plus à risque avec
le meilleur outil possible et descendre le niveau d'attention sur les actifs qui ne
présentent pas de vulnérabilités connues (encore une fois je peux me tromper) et de
menaces réelles. Quitte à avoir à terme ou en scénario intermédiaire 2 solutions de
gestion.
Alors dans le monde UNIX on parle plus volontiers de rootkit que de ransomware mais,
ayant traduit en Français "Designing BSD Rootkits" [1,2] il y a presque quinze ans je
t'assures que le risque existe. D'ailleurs le Morris Worm [3], en 1988, ciblait des
4BSD sur des DEC VAX. :)
J'avoue ne pas avoir pris le temps d'une analyse de risque formelle mais mes actifs
les plus risqués sont certainement l'ordiphone et la tablette, suivi de mon
infrastructure auto-hébergée, parefeu et serveur. Ce premier groupe est directement
exposé à Internet. Mon laptop ainsi que mon poste fixe, tous deux sous Fedora,
composent un second groupe, moins risqué.
Une solution pour les équipements mobiles pourrait être partagée avec mes postes de
travail. Le cas de l’infrastructure auto-hébergée aura probablement besoin d'être
traité à part compte-tenu de la spécificité des choix techniques antérieurs.
Et même si le risque est négligeable, j'ai quand même l'obligation de me conformer
aux exigences de mes clients relatives aux tierces parties. :) Si l'exigence est
d'avoir un antivirus sur chaque actif, je dois positionner un antivirus sur chaque
actif. Tu imagines le conseil en sécurité qui se fait pirater et on constate qu'il ne
respecte pas les règles qu'il fait imposer chez ses clients ?
[1] : <https://nostarch.com/rootkits.htm> (2007)
[2] : <https://www.decitre.fr/livres/rootkits-bsd-9782744022203.html> (2007)
[3] : <https://en.wikipedia.org/wiki/Morris_worm>
Bien cordialement,
--
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52
64B5
<https://www.mouet-mouet.net/maxime/blog/>
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
