mar, 17/09/2013 - 11:10
Si le vol d’informations, l’espionnage industriel et la guerre économique par atteinte à l’image et à la notoriété d’une entreprise ont toujours existé, la dématérialisation et le développement des outils informatiques a fortement modifié les moyens de parvenir à ces fins. Ainsi, avec les menaces ciblées, persistantes (APT), attaques DDoS et 0-Day, unanimement redoutées des RSSI, les motivations et les objectifs demeurent mais la forme et les armes utilisées sont différentes. Ces menaces informatiques évoluées sont un danger totalement inédit pour le système d’information. Sont-elles cependant si différentes des menaces dites aujourd’hui, « traditionnelles » ? Par Emmanuel Le Bohec, Consultant-Expert en sécurité des SI.
Des délits aux objectifs précis et minutieusement préparés par des experts
Revenons tout d’abord aux attaquants et à leurs motivations. Dans les années 90, les pirates étaient en quête de reconnaissance. Ils créaient des virus pour affirmer leurs capacités technologiques. Les cybercriminels ont par la suite échangé et vendu des méthodes d’attaques, des outils et des données volées. Puis, pour répondre aux besoins des marchés parallèles de l’underground, les nouveaux pirates se sont ‘professionnalisés’, affichant des compétences très pointues pour lancer des attaques de plus en plus abouties et sophistiquées. Aujourd’hui, leur capacité d’adaptation s’exerce dans la recherche des faiblesses ou des failles sécuritaires des nouvelles technologies.
Le niveau d’expertise acquis par certains cybercriminels est devenu ainsi extrêmement élevé. Très performants, ils attaquent des entreprises commerciales et industrielles ou des organisations gouvernementales et politiques, mettant en péril l’économie toute entière et la stabilité du pays. Ce sont les mercenaires des temps modernes. Pour l’entreprise, de tels actes ont toujours des répercussions financières et portent atteinte à la crédibilité et à la réputation d’une marque. A une autre échelle, on imagine la catastrophe engendrée s’ils touchaient des secteurs aussi sensibles que le nucléaire, l’approvisionnement en énergie ou les télécommunications.
Très motivés, les attaquants disposent de moyens importants. Ils ne laissent rien au hasard. Orchestrées par des organisations mafieuses, des groupes militants ou… des états, les attaques restent furtives et durent jusqu’à ce que l’objectif soit atteint ; ce qui peut être très long lorsque l’objectif est d’exfiltrer des données.
Une stratégie d’attaque est mise au point, permettant d’atteindre le but fixé. Les APT ou Menaces Persistantes Avancées (Advanced Persistent Threats), tant redoutées, mettent en œuvre plusieurs techniques d’attaques - injection SQL, XSS, etc. Si chaque composant - phishing, malware, XSS, etc. - n’est pas toujours techniquement très évolué, la combinaison organisée et méthodique des approches et des outils employés en font une attaque avancée.
Repérage des lieux et intrusion furtive
Persistantes et furtives, les nouvelles attaques cherchent à n’éveiller aucun soupçon. De leur discrétion, clé de leur durée au sein du système d’information attaqué, dépend leur succès. Elles ne laissent aucune place à l’improvisation et exigent la coordination des pirates. Organisées avec minutie, elles demandent généralement des compétences techniques sophistiquées. Pour les mafieux, le coût d’une telle attaque est important et le gain financier, bien que potentiellement considérable, est rarement immédiat.
Le pirate s’emploie tout d’abord à trouver le moyen de s’introduire furtivement dans le système ciblé. Le facteur humain - ingénierie sociale, drive by download, clickjacking, e-mail piégé, réseaux sociaux, forum professionnels, chats... - est plus souvent utilisé dans les attaques APT que dans les attaques classiques. Bien connaître sa victime permet au hacker de la piéger facilement. Souvent bavard, l’utilisateur révèle beaucoup trop de choses concernant sa fonction, son activité, voire ses droits sur le réseau. Beaucoup ne mesurent pas l’importance des informations qu’ils traitent dans leur organisation, ni les portes qu’ils peuvent entrouvrir aux pirates, qui n’attendent que l’occasion de pénétrer plus avant dans le système.
En parallèle à la préparation de l’intrusion « fine », l’attaquant va lancer simultanément plusieurs attaques de diversion, utilisant notamment le DDoS réseau (flooding) pour noyer dans la masse des événements de sécurité ainsi générés, la partie concernant l’attaque plus fine, la rendant ainsi furtive. Il utilise également de plus en plus d’attaques DDoS applicatives, plus discrètes et difficiles à bloquer, notamment en amont du réseau de la cible, et qui permettent, soit de faciliter l’intrusion en désactivant certains maillons de la chaîne de sécurité, soit, là encore, de détourner l’attention des équipes de supervision et d’exploitation de la victime.
A la recherche de privilèges
Divers outils sont installés par le hacker pour rester invisible et récupérer des identifiants, des comptes, des adresses… Pour se garantir un passage libre dans le réseau qu’il a réussi à pénétrer, le hacker met en place une porte dérobée (backdoor), puis il essaie d’accroître ses droits d'accès pour aller et venir à son aise (libre circulation) et accéder aux informations sensibles. L’authentification des utilisateurs, le chiffrement des communications ainsi que la traçabilité des accès et des opérations demeurent, aujourd’hui encore, le maillon faible d’un système d’information, de plus en plus ouvert au monde extérieur. La généralisation du BYOD (Bring your own device), l’externalisation de la maintenance, l’infogérance ou la pratique incontrôlée du Cloud Computing rendent difficile la gestion des identités. Les pirates bénéficient de cette situation, rencontrant peu de difficultés pour obtenir des privilèges plus importants.
Suit une phase d’exécution de codes (backdoors, chevaux de Troie, proxies, etc.) et de déploiement d’outils (ex. RAT, kits etc.) destinés à exfiltrer discrètement des données.
Les APT utilisent les mêmes vecteurs que les attaques traditionnelles pour compromettre leurs cibles. Les protections en place comme les pare-feu sont contournées et échouent face aux DDoS applicatifs, aux exploits 0-day, aux attaques ciblées… L’attaquant qui parvient à franchir la porte, exploite généralement une vulnérabilité pour voler les données convoitées.
Nouveauté ou pas ?
Les nouvelles menaces sont malheureusement une réalité. Par inconscience ou manque d’information, toutes les entreprises et organisations ne mesurent pas toujours pleinement la gravité dela situation. Faceau danger omniprésent de ce nouveau type d’agression, les entreprises restent sur la croyance que leur patrimoine informationnel est protégé par les matériels et les solutions en place. Elles n’investissent pas dans de nouvelles solutions efficaces pour faire progresser la sécurité de leur environnement informatique.
Il est vrai que la nouveauté ne saute pas immédiatement aux yeux : les DDoS sont nés en même temps que le réseau et les APT sont souvent assimilées aux virus et autres malwares de type trojan.
Pourtant, même si une partie des étapes composant une attaque structurée et moderne peut être bloquée par les outils traditionnels, l’utilisation et le phasage des techniques d’attaques, la technicité ainsi que le débit de ces attaques les rendent inopérants. Une nouvelle approche est nécessaire pour se défendre contre les APT, contrer les DDoS, combattre les attaques force-brute et empêcher la fuite et le vol de données. Les technologies traditionnelles n'ont pas été conçues pour détecter, et donc arrêter, les nouvelles attaques visant la couche applicative. Soit les outils sont eux-mêmes sensibles aux attaques, soit leur mode de fonctionnement (par signature notamment) est devenu inefficace. Les pirates ciblent alors les outils, initialement placés par l’entreprise pour se protéger, et les utilisent contre elle !
Les solutions de protection avancée existent
Les menaces ayant évolué, de nouvelles solutions sont apparues. Il faut aujourd’hui faire les bons choix stratégiques de défense pour résister à la déferlante des attaques ciblées, DDoS, botnets, APT, exploits 0-day … Alors que les pare-feu de nouvelle génération focalisent de plus en plus sur le contrôle des utilisateurs et de leur usage des applications, il est nécessaire de revoir la politique de défense vis-à-vis des menaces venant de l’extérieur. Ainsi, la mise en place d’une ligne de défense vient naturellement compléter la traditionnelle barrière firewall pour arrêter ces nouvelles agressions malveillantes externes, en filtrant les différents flux et éliminant le trafic généré par l’attaque avant qu'il ne touche le réseau. En conséquence, le trafic légitime n'est ni ralenti, ni bloqué. Cela fournit une visibilité critique tout en permettant à l'ensemble de l'infrastructure IT de fonctionner efficacement et d'optimiser les performances des matériels de sécurité existants, comme celle des applications et des serveurs réseau, assurant ainsi la continuité du service.
Pour constituer cette ligne de défense, on trouve, d’un côté, certains outils traditionnels tentant d’implémenter des fonctions de détection et de lutte contre ces nouvelles menaces, mais se trouvant vite limités par leur capacité de traitement ou d’évolution fonctionnelle, et, d’un autre côté, de nouvelles solutions spécialisées, soit dans la lutte contre les DDoS, soit contre les APT. Afin de proposer une vraie première ligne de défense, il faudrait pouvoir disposer d’une lutte complète contre les DDoS (réseau ET applicatifs) ainsi que contre les APT, en amont du réseau de l’entreprise.
Dans la mesure du possible, compte tenu des impératifs de production, il est important également d’installer systématiquement les mises à jour. Par exemple, Stuxnet a été reconnu comme un logiciel malveillant très sophistiqué. Or, plusieurs de ses composants ont exploité des vulnérabilités connues déjà corrigées par les éditeurs. Si les mises à jour sont faites, les failles se comblent et le niveau de sécurité s’améliore. Les attaques n’arrivent pas qu’aux autres, et les bonnes procédures sont la première garantie.
N’oublions pas également le facteur humain dans la mise en place d’une solution efficace de défense. A l’origine des menaces, on trouve souvent un facteur humain et sous différentes formes. L’utilisateur lambda, salarié comme sous-traitant, doit apprendre à utiliser les outils de sécurité mis en place ainsi que les bonnes pratiques à suivre mais il doit aussi connaître leur utilité et leur raison d’être. Il est souvent plus efficace d’éduquer et accompagner que d’interdire et contrôler.
Si l’éducation se généralise, aidée par la sensibilisation et relayée par les médias qui relatent les exploits des pirates informatiques. Le manque de compétences pointues est également l’une des grandes faiblesses des entreprises. Les outils magiques offrant une protection complète en permanence et tout automatique n’existent pas… Il convient donc de prévoir des formations techniques et des embauches lorsque les budgets le permettent ou bien de faire appel à des entreprises expertes qui connaissent les solutions mises en place ou qui ont développé leurs propres outils de protection.
Emmanuel Le Bohec, Consultant-Expert en sécurité des SI
A propos de l'auteur