Comment expliquer l’échec des mesures de sécurité les plus courantes ?

Par :
Csaba Krasznay

lun, 07/05/2018 - 16:02

La sécurité des informations est considérée comme une activité « réactive » dans la mesure où elle consiste à gérer les risques, en réaction, avant qu’ils n’aient de graves répercussions sur l’entreprise. Si l’on analyse l’historique de la sécurité informatique, on constate qu’elle obéit au principe de Pareto. Ce principe énonce que, dans de nombreux domaines, environ 80 % des effets sont le produit de 20 % des causes. C’est pourquoi les équipes en charge de la sécurité des informations tentent de consacrer leurs ressources limitées à ces 20 %.

Cette stratégie n’est pas toujours suffisante. Auparavant un simple pare-feu, ou un antivirus, suffisait à prévenir la grande majorité des attaques. Les outils et tactiques des cybercriminels ont beaucoup évolué et ils ont appris à esquiver ces mesures élémentaires. Les habitudes informatiques des employés et des clients ont elles aussi changé, d’où un problème sans fin pour le processus de gestion des risques, avec la nécessité de réévaluer constamment les menaces pour trouver une parade efficace au risque identifié.

Aujourd’hui, le principe de Pareto ne s’applique plus à la cybersécurité. Tous les composants matériels et logiciels, avec ou sans connectivité réseau, peuvent être la cible d’une attaque. Et du côté des cybercriminels, les motivations et stratégies sont si diverses qu’il est impossible pour les RSSI de les deviner.

Identitifier les principaux types de cyberattaques modernes

Deux grandes catégories de cyberattaques se distinguent aujourd’hui :

  • La première est une approche de masse, non ciblée, que l’on pourrait comparer à la pèche au chalut. Les attaquants jettent un immense filet virtuel sur Internet, sans savoir ce qu’ils attraperont ni même s’ils attraperont quoi que ce soit.

Le ransomware est un bon exemple de ce principe. Les cybercriminels possèdent ou louent un botnet, et propagent leur programme malveillant via ce réseau. Ils se servent pour cela de comptes de réseaux sociaux ou de messagerie dérobés dans la vaste base de données d’un fournisseur d’accès Internet et mis en vente sur le Darknet et evoient un email de phishing bien conçu pour tromper la vigilance de nombreux internautes. Cette stratégie demande peu d’investissements, mais peut rapporter gros. Avec le modèle de Ransomware-as-a-Service, pratiquement n’importe qui peut créer son propre code, le diffuser auprès du public visé et récupérer la rançon versée en bitcoins ou autre crypto-monnaie. Dans ce cas de figure, les motivations sont claires : récolter un maximum d’argent.

Du point de vue de la défense, ce type d’attaques semble gérable. Il cause cependant de graves préjudices aux entreprises qui n’ont pas investi dans la sensibilisation de leur personnel ou dans les dernières technologies de protection.

  • Le second modèle d’attaque est plus stratégique et ciblé. A l’inverse, il s’agirait là plutôt d’un pécheur cherchant une variété précise de poisson.

Ces cyberattaques ciblent ainsi une entreprise en particulier au moyen d’une cyberarme spécialement conçue pour exploiter ses faiblesses. Il s’agit dans de nombreux cas d’attaques indirectes. Les cybercriminels commencent par s’attaquer à un tiers de confiance et se servent de son réseau pour atteindre l’entreprise cible. Ces cybercriminels disposent de toutes les ressources nécessaires : temps, argent et expertise. Leur attaque répond généralement à des motivations précises. C’est ce que l’on appelle une attaque ciblée ou menace persistante avancée (APT, Advanced Persistent Threat).

Comprendre les motivations derrière les attaques

Pour bien comprendre la raison de l’échec des mesures de sécurité les plus courantes, il faut se pencher sur la nature des attaques ciblées. Le modèle bien connu « Cyber Kill Chain » de la société Lockheed Martin décrit les sept étapes d’une attaque APT : Reconnaissance ; Armement ; Infection ; Exploitation ; Commande et contrôle ; Actions.

Ces sept étapes s’appliquent à des centaines de tactiques, des milliers d’outils connus et un nombre tout aussi important d’outils encore inconnus. Le ransomware NotPetya illustre parfaitement la façon dont des outils et tactiques bien connus peuvent donner naissance à une nouvelle stratégie. Selon les experts, derrière des apparences de ransomware classique, ce programme malveillant avait en réalité pour but de déstabiliser l’Ukraine et de tester la résistance de l’industrie maritime. Au même titre que Wannacry un mois plus tôt, il s’est servi de la vulnérabilité EternalBlue et de Mimikatz, pour extraire les identifiants de comptes privilégiés de la mémoire. Rien de nouveau de ce côté. Il semblerait toutefois que ce programme malveillant se soit propagé via le mécanisme de mise à jour de M.E.Doc, un logiciel de comptabilité très populaire en Ukraine. Qui aurait pu s’attendre à ce que l’origine d’une campagne mondiale de programme malveillant se trouve dans la mise à jour de sécurité d’un logiciel local ? Les instigateurs de l’attaque ont fait un travail extraordinaire, en exploitant des vulnérabilités connues, aussi bien humaines que technologiques, et en utilisant des techniques et outils existants pour atteindre leurs objectifs stratégiques.

Comment les attaquants parviennent-ils à déjouer les stratégies de défense ?

Le MITRE, organisme à but non lucratif qui gère des centres de R&D, financé par le gouvernement américain, a publié une vaste base de données des tactiques et techniques de cyberattaque : ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge). Cette base de connaissances décrit le comportement des cybercriminels et reflète les différentes phases du cycle d’attaque ainsi que les plates-formes ciblées. Il corrobore largement le modèle Cyber Kill Chain de Lockheed Martin et fournit un éclairage utile sur le déroulement de ces sept étapes. Au cours de la phase de pré-attaque (étapes 1 à 4), 173 techniques différentes ont été identifiées dans 17 catégories d’attaques. Pour la phase d’attaque (étapes 5 à 7), 10 catégories ont été identifiées pour 169 techniques. Les attaquants peuvent utiliser librement ces techniques et il est quasiment impossible de déployer des contre-mesures appropriées couvrant toutes ces étapes dans un environnement complexe.

Le « mouvement latéral », c’est-à-dire le déplacement du cybercriminel à l’intérieur du réseau depuis l’ordinateur piraté, constitue une étape décisive dans les attaques ciblées. Dans le cas de NotPetya, le déplacement latéral était l’objectif final du vol d’identifiants sur les ordinateurs infectés. Les identifiants des comptes privilégies représentent les clés du royaume. Un intrus qui parvient à s’emparer de ces mots de passe sera difficilement identifiable à ce stade et pourra réaliser des activités en apparence légitimes.

Prenons l’exemple du protocole RDP. La société de sécurité Mandiant témoigne sur son blog que « Lors de ses activités de réponse aux incidents, (elle) est confronté à des attaquants qui utilisent activement les systèmes de réseaux compromis. Ils ont souvent recours à des programmes de console interactifs via RDP, comme PowerShell et parfois des consoles de commande et de contrôle (C2) personnalisées ». L’usage de RDP est une tactique confirmée par MITRE. Même les groupes de cybercriminels les plus avancés, comme APT1 ou Lazarus, se sont à maintes reprises servis de ce protocole. Dans la pratique, il est possible de se connecter à distance aux serveurs Windows via le protocole RDP afin de les gérer. Il peut s’agir de serveurs sur site ou dans le Cloud. Par conséquent, si l’attaquant dispose d’un compte privilégié, il a de grandes chances d’avoir accès à l’ensemble de l’infrastructure Windows.

Au delà des mots de passe : la défense nouvelle génération

Alors comment sécuriser les connexions RDP ? Bien qu’il soit souvent conseillé d’utiliser des mots de passe forts pour l’authentification NLA (Network Level Authentication), cette approche ne règle pas le problème du vol d’identifiants. Même les gestionnaires de mots de passe peuvent être bernés par un compte utilisateur privilégié autorisé. Seule l’authentification multifacteurs semble être efficace, mais les limitations de l’infrastructure empêchent souvent sa mise en œuvre.

Malheureusement, il s’agit là d’un exemple parmi d’autres des défis à relever. Et chacune des nombreuses techniques disponibles apporte son lot de difficultés. Tout comme les attaquants perfectionnent leurs modes opératoires, les entreprises doivent améliorer leurs stratégies de défense et leurs kits d’outils. Il existe de nouvelles technologies émergentes très prometteuses qui pourraient bien rétablir l’équilibre entre l’attaque et la défense.

Cette tendance est confirmée par le Gartner (Hype Cycle 2017 des technologies émergentes) qui prédit que nous nous orientons vers une généralisation du machine learning et de la sécurité « software-defined », et que déjà à ce jour un nombre croissant de solutions de cybersécurité intégrant ces technologies font leur apparition sur le marché. Alors le cocktail sensibilisation et technologies innovantes va-t-il enfin faire pencher la bataille du côté de la défense ?

A propos de l'auteur

Csaba Krasznay
Évangéliste cybersécurité chez Balabit