Quand une cyberattaque en cache une autre

Par :
Jérôme Soyer

ven, 13/05/2022 - 10:54

La surcrise n’est pas un classique des exercices pour rien : lorsque les organisations sont fragilisées et désorganisées par une crise elles deviennent immédiatement des cibles faciles pour des cyber-attaquants opportunistes. Exemples vécus et trois conseils pour échapper à la surcrise par Jérôme Soyer, de Varonis.

Alors que nos équipes intervenaient pour aider une entreprise victime d’une cyberattaque, les collaborateurs ont commencé à recevoir des appels externes particulièrement bien renseignés, à la fois sur l’organisation de l’entreprise (qui fait quoi ?), mais aussi sur certains éléments de la crise elle-même.

Une fois, deux fois… Il a rapidement été évident que des escrocs qui n’avaient rien à voir avec l’attaque en cours tentaient de profiter de la désorganisation liée à la crise afin de tenter de faire passer des ordres de virement frauduleux. 

Et cela est d’autant plus simple que l’entreprise est dans un contexte très perturbé : elle fonctionne en mode dégradé, tout le monde n’a pas accès à ses emails et certains collaborateurs – bien que cela soit déconseillé – tentent de continuer à travailler depuis un email personnel. 

L’attaquant déjà un peu renseigné (ne serait-ce que par les éventuels articles de presse parus) n’a alors aucun mal à faire passer, par exemple, de fausses commandes pour des solutions ou des services de cybersécurité.

Dans un autre cas similaire, nos experts de réponse à incident ont pu constater que l’escroc disposait d’une très (voire trop !) bonne connaissance interne, à la fois de l’organigramme, mais aussi des procédures internes et en particulier des montants financiers maximums avant qu’une double autorisation ne soit exigée.

Et pour cause : l’investigation montrera que celui-ci avait pris le contrôle du relais SMTP et qu’il avait ainsi été en mesure d’épier l’organisation dans ses moindres détails avant de lancer son opération en usurpant l’identité de collaborateurs à travers de vrais-faux emails.

Comment, alors, se préparer afin d’éviter de s’exposer, en temps de crise, à de telles attaques opportunistes ? Les deux principaux points communs entre les situations vécues ci-dessus sont l’usurpation d’identité et l’usage de l’email comme vecteur principal (même si le téléphone apparaît souvent comme un autre vecteur complémentaire important).

Les attaquants mènent en effet leurs escroqueries sous couvert d’une fausse identité, celle du dirigeant de l’entreprise, par exemple. Il convient alors de renforcer la confiance que l’on peut avoir dans les identités de l’entreprise, et en particulier dans ses courriers électroniques.

S’il existe évidemment de nombreuses solutions de cybersécurité afin d’aider le RSSI dans cette tâche, les premières mesures peuvent être mises en œuvre immédiatement, sur la base de l’existant.

1. Un AD propre et contrôlé

L’annuaire Active Directory est bien souvent le centre névralgique des identités de l’entreprise. Il devra donc évidemment faire l’objet d’une protection adéquate, mais aussi d’un renforcement de son étanchéité vis-à-vis des utilisateurs légitimes externes à l’entreprise, qui souvent disposent malgré tout d’un compte dans l’annuaire (essentiellement pour des questions de maintenance). Il est nécessaire de s’assurer que ces comptes-là ne peuvent être utilisés pour glaner des informations détaillées sur la structure de l’entreprise et ses collaborateurs. 

Et l’Active Directory est aussi un excellent point de contrôle pour détecter des comportements anormaux, notamment en lien avec l’usage de la messagerie – mais cela demandera une intégration spécifique 

2. Des emails authentifiés

L’origine des courriers envoyés au nom de l’entreprise doit pouvoir être garantie. Aujourd’hui, plusieurs standards permettent de s’en assurer, mais ils ne sont malheureusement pas toujours mis en œuvre, et encore moins correctement (leur configuration peut s’avérer délicate sur des périmètres étendus). Cependant, les SPF, DMARC et autres DKIM sont essentiels pour renforcer la confiance dans les courriers électroniques de l’entreprise (y compris vis-à-vis des destinataires légitimes !)

3. Une bonne supervision du réseau

Dernier point : la recherche d'anomalies sur le réseau. Cela passe par une bonne maîtrise des journaux, afin d’être en mesure d’identifier des profils d’usage anormaux, ou encore des connexions vers des serveurs de commandes & contrôles connus. C’est peut-être ici qu’un peu d’automatisation sera le bienvenu, mais même manuellement, prendre l’habitude de jeter un œil quotidiennement aux graphiques des outils de supervision (volume de données sortantes, nombre d’emails sortants, classement par destination, par tranche horaire, etc…) pourra déjà permettre de repérer rapidement des anomalies. 

Non seulement ces trois bonnes pratiques pourront contribuer à réduire le risque d’être victime d’une cyber-crise en premier lieu, mais elles seront également essentielles durant la crise afin d’éviter de prêter le flanc aux attaquants opportunistes !

A propos de l'auteur

Jérôme Soyer
Varonis