jeu, 14/02/2013 - 11:33
Durant 4 mois, les 53 employés de la rédaction du New York Times ont été piratés par des hackers. L’attaque, en provenance de Chine, coïncide ou plutôt débute le 25 octobre 2012 lors de la publication par le journal d’une série d’articles sur l’enrichissement illicite des hauts membres du comité central du parti communiste chinois. Par Théodore-Michel Vrangos, président et cofondateur d’I-TRACING.
Non, ce n’est pas un mythe : la guerre de l’information a bien lieu. On assiste chaque jour à la perturbation des réseaux et des infrastructures numériques. Et le phénomène s’amplifie, à la mesure de l’importance de la révolution numérique. Des délinquants pénètrent sur les réseaux pour récupérer les informations qui y circulent ou qui sont stockées sur le système d’information. Piratage de données personnelles, cybercriminalité, espionnage, intrusions, vol d’informations stratégiques, APT, manifestations et revendications d’hacktivistes... l’inquiétude grandit au sein des directions informatiques. Les délits commis sur les systèmes d’information et les réseaux informatiques menacent les entreprises françaises et affectent le fonctionnement de l'économie et des institutions. Les cyber-territoires deviendraient-ils les champs de bataille des temps modernes au même titre que les airs et l’espace ?
Cyberguerre ou simple délinquance ?
La frontière entre les deux est très mince. La cyber-attaque est un art parfaitement maîtrisé par les organisations criminelles, les hacktivistes et les états. Cette réalité revêt de multiples formes. Il s’agit aussi bien d’une escroquerie comme le vol de numéros de cartes bancaires par une organisation mafieuse qu’une agression lancée contre un pays, comme ce fut le cas, en 2007, de l’Estonie, particulièrement en pointe dans l’usage quotidien des techniques numériques ou encore un déni de service visant des établissements financiers comme l’attaque récente de plusieurs banques américaines. Personne n’est épargné. Plusieurs ministères ont été victimes de vols massifs de données sensibles, des ONG et des entreprises ont été espionnées. Aujourd’hui, les entreprises sont aussi le théâtre d’opérations de la guerre du Net. L’été dernier, le quotidien Le Monde rapportait qu’une cinquantaine d’entreprises, appartenant au secteur de la défense et de l'industrie chimique, avaient été victimes d'une série d'intrusions informatiques. Ces intrusions étaient coordonnées : les ordinateurs des dites sociétés auraient été infectés par un programme malveillant, utilisé pour dérober des informations. Les informations volées étaient protégées par la propriété intellectuelle. L'espionnage industriel semble bien être le mobile de cette vaste attaque.
Vers un cyber-espionnage généralisé ?
Dans une économie de l'immatériel, les biens numériques acquièrent de la valeur. Certains sont convoités pour leur valeur informative (invention, plan stratégique…), d’autres pour leur valeur commerciale (certaines bases de données se revendent). Pour s'en emparer, certains rémunèrent les services des pirates informatiques. La dématérialisation permet d’agir à distance, souvent depuis un pays où la législation est moins répressive, et sans les risques que comporte la délinquance physique, grâce à l’anonymat des auteurs. Il est même facile d'usurper une identité pour "pénétrer" dans des zones interdites comme des bases de données confidentielles ou des centres de paiement.
Dans son rapport "La cyberdéfense : un enjeu mondial, une priorité nationale", le sénateur Jean-Marie Bockel s’inquiète de l’ampleur de l’espionnage industriel qui se traduit par des pertes économiques atteignant de 3 à 5 milliards d’euros par an. Pour lui, nul doute, la cyberdéfense est devenue une priorité stratégique absolue.
L’augmentation des attaques ciblées envers les entreprises et les institutions est plus que préoccupante. Cette tendance ne devrait pas s’inverser dans les prochaines années en raison des gains potentiels pour les cybercriminels. Le spectre des attaques s’élargit même. Les cibles jusque-là privilégiées des grandes entreprises sont rejointes par de plus petites structures. Les auteurs utilisent de nouveaux vecteurs d'attaques. La tendance irréversible du BOYD facilite les intrusions. L’infection d’appareils mobiles privés comme les tablettes, les smartphones ou les MP3 permet de s’introduire dans les entreprises. Il n’est plus nécessaire d’être un expert en informatique pour fomenter une attaque. Des kits d'exploits prêts à l’emploi sont vendus en ligne !
Il est très inquiétant et déconcertant d’observer avec quelle facilité on peut entrer dans un système d’information pour y voler des informations ! Les entreprises assistent, impuissantes, à la fuite de leurs données ou plutôt, dans nombre de cas, se rendent compte du cambriolage quelques temps après qu’il ait été effectué. Qui commandite ces vols ? Quels moyens n’hésitent pas à employer certains acteurs pour espionner leurs concurrents ?
Les APT, un type nouveau de menace
APT. Trois lettres qui donnent des sueurs froides aux Responsables Informatiques. Les Advanced Persistent Threats, couramment appelées APT, font parties des pires menaces actuelles. Pour les experts, il ne s’agit pas d’un mythe. Bien réelles, les APT concernent aussi bien les états que les entreprises et les organisations. Chacun doit être conscient du savoir-faire de certains cybercriminels, prêts à s’introduire dans le système d’information de l’entreprise pour voler des informations sensibles. RSA, Sony, Google - et bien d’autres encore - ont été victimes d’attaques informatiques très ciblées, compromettant leurs données stratégiques. Mais aujourd’hui, encore trop peu d’entreprises et d’administrations sont véritablement préparées à contrer ces menaces ‘intelligentes’.
La patiente stratégie des espions
Complexes et très sophistiquées, les menaces persistantes avancées ciblent les actifs de valeur de l’entreprise que sont les informations stratégiques. Invisibles, elles peuvent se dérouler sur une période assez longue. Une APT est une attaque ciblée qui s’appuie sur un logiciel malveillant, taillé sur mesure et capable de contourner les dispositifs de sécurité en place. Elle relève d’une association de malfaiteurs - et non plus d’un pirate isolé - qui s’infiltre dans une entreprise pour l’espionner. Une APT se termine toujours par le vol de données sensibles.
Les auteurs d’APT déploient des efforts considérables pour que leurs actions restent inaperçues. Ils passent furtivement d’un hôte compromis à un autre, sans générer de trafic réseau. Certains hackers font muter le code utilisé, déjouant ainsi les solutions de sécurité en place pour demeurer indétectable. Il est courant qu’une entreprise attaquée ne s’en rende compte que tardivement. Lockheed Martin détecte une intrusion qui a permis de détourner des données liées à la conception du nouvel avion de chasse F-35 Lightning II, en 2009. Les systèmes informatiques impliqués dans la fuite d’informations auraient été infiltrés quelque 2 ans auparavant. Les pirates-espions sont entrés grâce aux vulnérabilités de réseaux d’entreprises sous-traitantes. En chiffrant les données volées, ils ont brouillé les pistes et rendu difficile l’identification du butin et des auteurs.
Une APT est très souvent commanditée car son exécution demande des compétences informatiques sérieuses. Les exécutants sont parfaitement organisés. Ils sont financés par ceux à qui profite le crime. Pour arriver à leurs fins, ils utilisent un cocktail de moyens très bien dosé : cheval de Troie, par exemple, involontairement installé par un utilisateur imprudent, exploitation des vulnérabilités d’un logiciel ou d’un programme, mise en place d’outils divers pour des opérations ultérieures, etc.
Portait-robot d'une APT
Le mode opératoire est sensiblement le même d’une attaque à l’autre. Dans un premier temps, les utilisateurs de l’entreprise constituent la cible principale des pirates car ils serviront de point d'entrée. L’APT s’appuie sur l’ingénierie sociale. Le hacker se renseigne discrètement sur sa cible pour bien la connaître. Il lui sera alors plus facile de la convaincre de cliquer sur un lien ou d’ouvrir une pièce jointe. Une fois l’accès obtenu, le pirate essaie d’accroître ses privilèges. Il bénéficie au minimum des droits d’accès accordés à l’utilisateur légitime de la machine qu’il occupe à son insu. Des programmes d’exfiltration, des outils de chiffrement, des proxys… sont introduits. L’attaquant explore le réseau pour atteindre les serveurs de données. Il utilise des vulnérabilités applicatives, des informations du poste compromis et tous les mécanismes qui lui permettront d’accéder à de nouvelles machines disposant de droits d’accès plus importants et contenant les informations sensibles qu’il recherche. L’exfiltration des données pourra ensuite commencer. Lorsque le hacker quitte le champ d’opérations, il efface les traces de son passage pour toujours demeurer parfaitement invisible.
En résumé, l’espionnage s’opère en sept phases plus ou moins longues, selon les obstacles rencontrés par le hacker.
1. Approche de la victime par ingénierie sociale ou autre moyen (par exemple keylogger installé à travers le flux web http, ou à travers un courrier de type spear-phishing - email de phishing particulièrement ciblé, etc.),
2. Infiltration furtive des systèmes cibles,
3. Mise en place d'un backdoor après pénétration sur le réseau,
4. Obtention des droits d'accès vers d'autres systèmes internes,
5. Installation d'un ensemble d'outils nécessaires à la clandestinité et à l'exfiltration de données,
6. Obtention de privilèges plus importants,
7. Exfiltration discrète et régulière des données.
La sécurité est un voyage pas une destination
Nous l’avons déjà dit, les entreprises rencontrent des difficultés à déceler les APT. Or, la virulence de telles attaques voudrait qu’elles soient détectées le plus tôt possible. Cela permettrait de minimiser les dégâts. Comment une entreprise peut-elle alors se défendre contre ce fléau ? Tout d’abord, il faut rappeler que même si toutes les entreprises ne sont pas équipées, la plupart des grands comptes disposent de protections efficaces pour défendre leurs biens les plus chers, les données sensibles. Mais, croire qu’il suffit d’acheter des pare-feu, des anti-malwares, des firewalls pour les bases de données, et toutes sortes de solutions pour que le système d’information soit entièrement sécurisé, est une grave erreur. Il est utopique d’imaginer que seule une panoplie d’outils technologiques constitue la parade infaillible à l’insécurité. Les équipements de sécurité - même les plus sophistiqués - doivent s’accompagner d’un certain nombre de règles et d’actions humaines de la part d’experts, qu’il faut impérativement respecter, d’une analyse des risques auxquels l’entreprise est exposée et d’un processus permanant de contrôle et de surveillance.
C’est ce que nous appelons un SOC (Security Operations Center) propre à l’entreprise ou externalisé chez un prestataire de services de sécurité, capable d’avoir à la fois la vision d’ensemble du système d’information et la connaissance du détail des flux de données. Un SOC est composé d’experts et d’analystes qui surveillent et scrutent les signaux en provenance des équipements de sécurité et du système d’information en général.
A travers un processus de SOC, la traçabilité de l’information est un moyen efficace pour dépister une attaque APT. La corrélation des logs, l’analyse des événements de sécurité, la prise en compte des incidents, l’examen des nombreuses informations disponibles souvent en temps réel, la surveillance des actions et connexions des comptes à privilèges… fournissent de précieuses indications et permettent de savoir s’il y a danger.
La requête d’un domaine avec lequel l’entreprise n’a pas de relation, l’accès anormal à certaines ressources ou la transmission de fichiers chiffrés vers des hôtes externes en dehors des processus de transmission de données classiques sont quelques exemples d’opérations pointées par la traçabilité de l’information, qui doivent retenir toute l’attention pour éviter le pire.
Informer ses propres troupes du danger
D’une part, les entreprises se sont dotées de solutions de sécurité pertinentes, d’autre part, les APT perdurent. On est en droit de se demander où est le maillon faible.
Le facteur humain joue un rôle essentiel dans la lutte contre les menaces. Rien ne sert de mettre en place une politique de sécurité si les règles ne sont pas respectées. Très peu d’entreprises disposent aujourd’hui de procédures formalisées par écrit, à appliquer en cas de vulnérabilité. C’est pourquoi, il n’est pas rare d’observer des réactions confuses et un manque de réactivité de l’administrateur lorsqu’un risque se déclare.
Les APT exploitent souvent des vulnérabilités connues. Or, des patchs sont régulièrement publiés par les éditeurs pour remédier aux vulnérabilités. Mais, les cyber-attaquants savent qu’ils ne sont pas toujours déployés. Aussi continuent-ils de mener leurs attaques en exploitant de vieilles vulnérabilités connues. Pour y remédier, il n’existe qu’un moyen : informer les utilisateurs des risques et des dangers.
En France l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) réalise un travail important de sensibilisation et d’information. Mais, les entreprises ne mesurent souvent qu’après le sinistre, l’étendue des dégâts. Une investigation complète de type forensics (analyse post-mortem de l’incident, évaluation des compromissions, définition de plans d’actions, etc.) et surtout la mise en conformité des systèmes après l’incident, ont des coûts non négligeables.
Une APT débute souvent parce qu’un salarié mord à l’hameçon. Sensibilisé aux problèmes de sécurité, le salarié devient plus vigilent. Sa prudence lui permet de déjouer les pièges tendus par les cybercriminels qui veulent l’amener à ouvrir la porte du système. L'attaque de RSA d'EMC où des données sensibles ont été dérobées, a été déclenchée par un employé qui a ouvert un fichier Excel malveillant, reçu par courrier électronique et qui exploitait une faille inconnue de Flash. S’il avait été informé du danger, ce salarié aurait probablement fait preuve de plus de discernement.
La menace nous concerne tous
Sur le plan technique les APT ne sont pas particulièrement « avancées ». Elles utilisent les mêmes outils que d’autres types d’attaque. Mais, sur le plan « business », il s’agit d’un fléau sans commune mesure. Ce sont actuellement les cyber-menaces les plus virulentes. Elles plongent le monde dans une insécurité permanente où chacun doit se préparer aux crises qui en résultent. Bien réelles, les menaces persistantes avancées visent tous les secteurs économiques et touchent toutes les entreprises, de la PME au grand groupe. Les directions générales, les DSI et les responsables de la gestion des risques doivent de toute urgence évaluer leur exposition face aux APT pour prendre des mesures préventives et correctives.
La lutte contre la fuite des données illustre le paradoxe de notre société de l'information qui est devenue une société du risque. Depuis des années les spécialistes alertent les pouvoirs publics sur l'ampleur de l'espionnage dont sont victimes les entreprises françaises et sur la nécessité de renforcer leur protection. Une loi sera-t-elle suffisante pour faire baisser le cyber-espionnage industriel, comme semble le penser le Gouvernement ? L’avenir proche nous le dira.
Théodore-Michel Vrangos, président et cofondateur d’I-TRACING
A propos de l'auteur