jeu, 22/11/2012 - 11:39
Hacktivistes et cybercriminels multiplient les actions d'éclat. Cyber-agressions, blocage de sites institutionnels, vols d’informations stratégiques, divulgation de données, révélation du code source de logiciels commerciaux, manifestations, revendications… augmentent très nettement. Mais, parmi la longue liste des menaces que subissent les entreprises, le plus grand danger, aujourd’hui, vient de ce que les spécialistes appellent Advanced Persistent Threat (APT). Complexes et sophistiquées, ces attaques sont aussi très ciblées. Elles touchent aussi bien les individus que les entreprises, via un réseau informatique. Le but ? Voler des informations sensibles. Par Emmanuel Le Bohec, Regional Manager chez Corero Network Security.
Les menaces persistantes avancées (APT) sont aujourd’hui, les menaces les plus sophistiquées et les plus structurées. Coordonnées, les APT sont les pires menaces. Elles ciblent les actifs de valeur de l’entreprise ciblée. Pourvus de réelles compétences informatiques, les cybercriminels sont organisés et financés.
Une tactique militaire
Appliquant certains articles du célèbre traité de Sun Tzu « L’art de la guerre » qui rappelle que gagner ou perdre une guerre est une question de méthode et de stratégie, les actions déployées par les cybercriminels reposent sur la préparation, l’espionnage, la bonne connaissance du terrain et des forces en présence ainsi que sur l'adaptation aux circonstances.
Alliant patience et furtivité, une APT demeure discrète, lente et invisible, passant furtivement d’un poste compromis à un autre, sans générer de trafic anormalement élevé, cherchant des informations ou un système cible et déployant d’énormes efforts pour ne pas se faire remarquer par les utilisateurs légitimes et les administrateurs systèmes. Cette méthode souterraine combine plusieurs modes opératoires et son impact financier est d’autant plus important qu’elle est détectée tardivement.
Les hackers mettent en œuvre plusieurs technologies allant de l’intrusion à la collecte d’informations. Ils emploient des logiciels malveillants pour hameçonner les individus ciblés, pratiquent l’ingénierie sociale et développent des outils sophistiqués et “avancés” pour atteindre et compromettre leur cible. La menace est effective et relève d’une véritable stratégie, comparable à celles que décrivent les manuels militaires.
Les grandes manoeuvres
Une APT opère en cinq phases.
1 – Identification des objectifs et mise en œuvre des moyens nécessaires
Presque toujours commanditée, l’APT est méthodiquement organisée. Les attaquants identifient les objectifs à atteindre et les moyens d’accès. Ils déterminent les ressources à mettre en œuvre, les niveaux d’expertise requis pour atteindre la cible. L’objectif est de ne surtout pas minimiser les forces engagées en sous-évaluant les défenses adverses car cela causerait l’échec de l’attaque mais également de rester discret. Plus la finalité est importante, plus les moyens mis en œuvre sont nombreux, complexes et experts.
2 – Reconnaissance du terrain et phase de renseignement
L’attaquant recherche toutes les informations concernant sa cible (contacts, schéma d’architecture informatique, sous-traitants, mainteneurs,…) pour identifier les moyens de connexion de l’entreprise et les comptes d’accès à privilèges. Des outils logiciels effectuent très rapidement une recherche structurée sur Internet (pages web, contenus, serveurs, etc.). Des campagnes de ping et de scan des ports réseau permettant des opérations de fingerprinting (identification des applications et OS installés sur les serveurs visibles sur Internet mais surtout de leurs versions et niveau de « patch », donc de leurs failles) et donc de mieux cibler les attaques à lancer. Les pirates cherchent également à prendre le contrôle de points d’ancrage dans l’entreprise. Ils visent quelques postes de travail en utilisant souvent le phishing pour hameçonner des utilisateurs et installer des postes d’observation avancés dans le but de préparer les phases ultérieures.
3 – Tirs de barrage, infiltration et effet de surprise
Ainsi renseignés sur les réseaux, la sécurité et les services utilisés et disposant souvent d’accès basiques au réseau de l’entreprise ciblée, les assaillants se préparent à lancer une offensive de grande ampleur via l’exploitation des vulnérabilités identifiées ou l’attaque depuis leurs postes avancés, c’est-à-dire avec des complicités internes, volontaires ou non. Les pirates tentent, avant tout, de masquer leur forfait mais aussi la cible réelle de l’attaque en créant un écran de fumée, comme le feraient des militaires lançant une diversion. Ils essaient également d’affaiblir les défenses de la cible par un tir de barrage ou une attaque massive visible de tous, y compris souvent du grand public. Dans les deux cas, l’attaque par déni de service, distribuée ou non (DoS/DDoS) peut être utilisée. Dans la première hypothèse, les logs (traces des connexions) générés occupent les équipes d’exploitation de la cible, détournent leur attention et rendent beaucoup plus difficile la détection de l’attaque, plus fine, visant à pénétrer le réseau de l’entreprise. Dans la seconde, les équipements réseau et de sécurité submergés, peu adaptés pour ce type d’attaque, vont, soit tout bloquer (créant le déni de service souhaité avec la mauvaise publicité associée), soit se transformer en fil pour ne pas devenir le point de rupture ou de blocage ou, pire encore, être désactivés par les équipes de la cible, selon le principe de la continuité de service à tout prix. Dans tous les cas, le résultat est le même : les attaquants atteignent leur but et les intrusions peuvent passer.
4 – Siège, encerclement, fortification et saute-mouton
Une fois l’accès obtenu, quelques opérations techniques permettent d’accroître les privilèges des pirates pour rendre le code malveillant ainsi installé, transparent et persistant sur le système, sont entreprises. Doté au minimum des droits d’accès accordés aux utilisateurs propriétaires des machines cibles, les attaquants explorent le réseau pour atteindre les serveurs de données. Ils utilisent les vulnérabilités applicatives, les informations résidant ou transitant par le poste compromis ou des mécanismes réseau pour accéder à de nouvelles machines disposant de droits d’accès plus étendus et contenant des informations plus sensibles, en utilisant la technique de saute-mouton que l’on retrouve dans l’infanterie. A chaque étape, du code malveillant est installé et la machine « verrouillée », telle un bastion, afin de conserver un contrôle durable.
5 – Contrôle des principales voies d’accès, furtivité et utilisation du terrain
Les pirates cherchent ensuite un canal « permanent » pour pouvoir communiquer avec l’initiateur de l’APT, souvent situé à l’extérieur de l’entreprise et qui coordonne l’attaque, tel un général depuis son QG, mais aussi pour pouvoir exfiltrer immédiatement ou ultérieurement les documents collectés. Ils installent ainsi des outils de rebond, des proxys et des outils de chiffrement. Dans certains cas, les hackers vont jusqu’à faire muter le code utilisé afin qu’il demeure indétectable par les solutions de sécurité installées, utilisant donc de véritables contre-mesures électroniques. Le chemin ainsi sécurisé leur permet également de quitter le champ d’action en effaçant toute trace de leur passage, restant inaperçus jusqu’au bout.
Une APT conduit toujours à une fuite de données
Le but ultime de l’APT est de voler et d’exfiltrer, d’un réseau informatique, des informations précises sur une personne, un groupe d’individus ou une organisation, un contrat, un projet ou des brevets. Lorsque la « mission » est terminée, l’attaquant décide alors de disparaître en effaçant toutes ses traces ou de saboter les installations qu’il occupait et espionnait.
L'inter-connectivité est de plus en plus grande. Elle rend les frontières plus difficiles à définir et la sécurité plus délicate à appliquer. Les fusions-acquisitions, les filiales d’une entreprise installées dans plusieurs pays, les besoins entre les entrepreneurs, les sous-traitants, les clients et les employés de plus en plus connectés et reliés entre eux par Internet, ont ouvert le système d’information. La démocratisation du haut débit et de l’utilisation de PC, tablettes et smartphones personnels donnant accès à Internet, les comportements individuels ou collectifs négligents et la disponibilité d’outils de piratage informatique sur le marché facilitent la vie des hackers tout en la rendant plus difficile aux RSSI.
Contre-attaque ou guerre de tranchées ?
On assiste donc à une véritable et interminable guerre. Les pirates ont l’avantage de l’attaquant et de la stratégie. Les responsables informatiques doivent détecter les comportements, les activités et les trafics anormaux.
Le comportement humain, tant des utilisateurs que des informaticiens, est une fois encore l’élément-clé. La maladresse et l’erreur humaine qui font exécuter un traitement non souhaité sont les premiers risques. La formation des utilisateurs, inconscients ou ignorants des périls qu'ils font courir au système d’information, est une contre-offensive importante. Un utilisateur non averti peut introduire un programme malveillant, en connectant simplement un ordinateur portable ou une tablette personnelle sur le réseau de l'entreprise ou en utilisant une clé USB sur son PC. Les manipulations inconsidérées sont aussi monnaie courante.
L’authentification est de toute évidence le premier rempart aux attaques informatiques. Les noms d’utilisateur/mot de passe (login/password) sont personnels et ne doivent jamais être communiqués... même pour rendre service. Détourner les mots de passe est un exercice courant pour un hacker qui cherche un accès à privilèges pour prendre le contrôle d'un système ou d'un réseau.
Mettre en place une première ligne de défense
Il est capital de disposer d’architectures IT cohérentes. Les pare-feux, le partitionnement, la protection interne (zone-tampon, DMZ, multiples obstacles d’authentification), la visibilité et le contrôle sont des moyens de défense en profondeur. Mais leur mode de fonctionnement, voulant qu’ils soient spécialisés, qu’ils gardent un état des connexions ouvertes et qu’ils analysent tout le trafic les traversant, les rend sensibles à certaines attaques, comme les DoS/DDoS, ou aveugles dans le cas d’attaques applicatives. Le filtrage bi-directionnel, permettant de contrôler les paquets entrants ET sortants, est essentiel pour prévenir une attaque mais aussi pour la détecter lorsque l’intrusion a déjà eu lieu, soit en place avant l’installation de l’équipement de filtrage, soit apportée via un réseau moins sécurisé (sous-traitant) ou via un employé qui introduit un équipement mobile personnel (PC, BYOD, etc.).
Dans tous les cas, les moyens de défense et la protection à mettre en place doivent être proportionnels à la valeur des actifs à protéger. Pour évaluer correctement les risques engendrés par la criminalité informatique, la vision globale des dangers et des techniques utilisées par les hackers est indispensable. Il faut aussi analyser correctement les vulnérabilités propres à chaque site, définir le niveau de sécurité souhaité et enfin, mettre en place une politique de sécurité qui tienne compte des problèmes liés au poste d’administrateur et de ceux de l’utilisateur afin d’éviter d’en créer de nouveaux.
Le combat est sans fin… C'est un travail de chaque instant. Il faut instaurer des tests de défense continus et mettre en place les meilleures technologies de chaque catégorie, se chevauchant légèrement pour aider à découvrir les éventuels problèmes que les solutions « tout-en-un » peuvent masquer ou ne pas traiter. Enfin, il faut poursuivre sans cesse l’éducation et la sensibilisation des salariés... car c’est souvent là que se situe la faiblesse initiale !
Emmanuel Le Bohec, Regional Manager chez Corero Network Security
A propos de l'auteur