Cyber-agression, blocage de sites institutionnels, divulgation de données, vol d’informations stratégiques, divulgation du code source de logiciels commerciaux, manifestations et revendications… "hacktivistes", pirates en tous genres multiplient, ces derniers temps, les actions d'éclat, particulièrement en France. Retour sur quelques unes de ces attaques numériques dévastatrices pour analyser les motivations de leurs auteurs et décrypter le mode opératoire employé afin de mieux les combattre.
2e partie : les APT
Les menaces persistantes avancées (APT) sont aujourd’hui, les menaces les plus sophistiquées et les plus structurées. Alliant patience et furtivité, elles mélangent plusieurs modes opératoires et leur impact financier est d’autant plus important qu’elles sont détectées tardivement. La menace est réelle et relève de plus en plus d’une véritable stratégie que l’on pourrait voir décrite dans un manuel militaire.
Comment se déroule une APT ?
1 – Identification des objectifs et mise en œuvre des moyens nécessaires
Presque toujours commanditée, l’APT est méthodiquement organisée. Les attaquants identifient les objectifs à atteindre et les moyens d’accès. Ils déterminent les ressources à mettre en œuvre, les niveaux d’expertise requis pour atteindre la cible. L’objectif est de ne surtout pas minimiser les forces engagées en sous-évaluant les défenses adverses car cela causerait l’échec de l’attaque. Plus l’objectif est important, plus les moyens mis en œuvre sont nombreux, complexes et experts.
2 – Reconnaissance du terrain
Les attaquants recherchent toutes les informations qui concernent la cible : contacts, schéma d’architecture, pour identifier les comptes d’accès à privilèges et les moyens de connexion de l’entreprise. Des outils logiciels effectuent très rapidement une recherche structurée sur Internet (pages web, contenus, serveurs, etc.). Des campagnes de « ping » et de scans des ports réseaux, permettant des opérations de fingerprinting (identification des applications et OS installés sur les serveurs visibles sur Internet mais surtout de leurs versions) et donc de mieux cibler les attaques à lancer. Les pirates peuvent également chercher à prendre le contrôle de points d’ancrage dans l’entreprise. Ils visent quelques postes de travail en utilisant souvent le phishing pour hameçonner des utilisateurs et installer des postes d’observation avancés, toujours dans le but de préparer les phases ultérieures.
3 – Tirs de barrage, infiltration et effet de surprise
Ainsi renseignés sur les réseaux, la sécurité et les services utilisés et disposant souvent d’accès basiques au réseau de l’entreprise ciblée, les assaillants se préparent à lancer une offensive de grande ampleur via l’exploitation des vulnérabilités identifiées ou l’attaque depuis leurs postes avancés, c’est-à-dire avec des complicités internes (qu’elles soient volontaires ou non). Les pirates tentent avant tout, de masquer leur forfait mais aussi la cible réelle de l’attaque en créant un écran de fumée, comme le feraient des militaires en lançant leurs fumigènes. Ils essaient également d’affaiblir les défenses de la cible par un tir de barrage ou une attaque massive visible de tous (y compris souvent du grand public). Dans les deux cas, l’attaque par déni de service, dite DoS, massive, distribuée (DDoS) ou non peut être utilisée. Dans le premier cas, l’énorme quantité de logs (traces des connexions) générée rend beaucoup plus difficile la détection de l’attaque plus fine visant à pénétrer le réseau de l’entreprise. Dans le second cas, les équipements réseau et sécurité étant submergés, les intrusions peuvent passer et parfois même utiliser des vulnérabilités connues de ces équipements.
4 – Siège, encerclement, fortification et saute-mouton
Une fois l’accès obtenu, quelques opérations techniques permettent d’accroître les privilèges des pirates pour rendre le code malveillant ainsi installé, transparent et persistant sur le système. Doté au minimum des droits d’accès accordés aux utilisateurs propriétaires des machines cibles, les attaquants explorent le réseau pour atteindre les serveurs de données. Ils utilisent les vulnérabilités applicatives, les informations résidant ou transitant par le poste compromis ou des mécanismes réseau pour accéder à de nouvelles machines disposant de droits d’accès plus étendus et contenant des informations plus sensibles, en utilisant la technique de saute-mouton que l’on retrouve dans l’infanterie. A chaque étape, du code malveillant est installé et la machine « verrouillée », telle un bastion, afin de conserver un contrôle durable.
5 – Contrôle des principales voies d’accès, furtivité et utilisation du terrain
Les pirates cherchent ensuite un canal « permanent » pour extraire des informations dans l’immédiat mais aussi pour pouvoir exfiltrer des documents ou des mises à jour, ultérieurement. Ils installent alors des outils de rebond, des proxys et des outils de chiffrement. Dans certains cas, ils vont jusqu’à faire muter le code utilisé afin de demeurer indétectables par les solutions de sécurité installées, utilisant donc de véritables contre-mesures électroniques. Le chemin ainsi sécurisé leur permet également de quitter le champ d’action en effaçant toute trace de leur passage, restant inaperçus jusqu’au bout.
Une APT conduit toujours à une fuite de données
Le but ultime de l’APT est de voler et d’exfiltrer, d’un réseau informatique, des informations précises sur une personne, un groupe d’individus ou une organisation. Dans certains cas, lorsque la mission est terminée, l’attaquant peut décider, soit de disparaître en effaçant toutes ses traces, soit de saboter les installations qu’il occupait et espionnait.
L'inter-connectivité de plus en plus grande rend les frontières plus difficiles à définir et la sécurité plus difficile à appliquer. Les fusions-acquisitions ont ouvert le système d’information comme les besoins entre les filiales de plusieurs pays, les entrepreneurs, les sous-traitants, les clients, les employés... qui sont de plus connectés et reliés entre eux par Internet. La démocratisation du haut débit et de l’utilisation de PC, tablettes et smartphones personnels donnant accès à Internet, les comportements individuels ou collectifs négligents ainsi que les outils de piratage informatique automatisé facilitent la vie des hackers tout en la rendant plus difficile aux responsables informatiques.
Contre-attaque ou guerre de tranchées ?
On assiste donc à une véritable et interminable partie de cyber-échecs. Les pirates ont l’avantage des blancs, donc du premier coup et de la stratégie. Il faut détecter le comportement, l'activité et le trafic anormaux. Le comportement humain est encore une fois l’élément-clé… Il concerne les utilisateurs comme les informaticiens. La maladresse et l’erreur humaine qui font exécuter un traitement non souhaité sont les premiers risques. La formation des utilisateurs, inconscients ou ignorants des risques qu'ils font courir au système d’information, est indispensable. Ils peuvent introduire des programmes malveillants sans le savoir, en connectant simplement un ordinateur portable ou une tablette personnelle sur le réseau de l'entreprise ou en utilisant une clé USB sur leur PC. Les manipulations inconsidérées sont aussi monnaie courante.
L’authentification est de toute évidence le premier rempart aux attaques informatiques. Les noms d’utilisateur/mot de passe (login/password) sont personnels et ne doivent jamais être communiqués... même pour rendre service. Détourner les mots de passe est un exercice courant pour les hackers qui cherchent les accès à privilèges pour prendre le contrôle d'un système ou d'un réseau.
Construire une base de défense
Il est capital de disposer d’architectures IT cohérentes. Le partitionnement, la protection interne (zone-tampon, DMZ, multiples obstacles d’authentification), la visibilité et le contrôle sont des moyens de défense en profondeur. Le filtrage bidirectionnel, permettant de contrôler les paquets entrants ET sortants, est essentiel pour prévenir une attaque mais aussi la détecter lorsque l’intrusion a déjà eu lieu, soit en place avant l’installation de l’équipement de filtrage, soit apportée via un réseau moins sécurisé (sous-traitant) ou via un employé qui introduit un équipement mobile personnel (PC, BYOD, etc.). Dans tous les cas, les moyens de défense et la protection à mettre en place doivent être proportionnels à la valeur des actifs à protéger. Pour évaluer correctement les risques engendrés par la criminalité informatique, il convient d’avoir une vision globale des dangers et des techniques utilisées par les hackers. Il faut aussi analyser correctement les vulnérabilités propres à chaque site, définir le niveau de sécurité souhaité et enfin, mettre en place une politique de sécurité qui tienne compte des problèmes liés au poste d’administrateur et de ceux de l’utilisateur afin d’éviter d’en créer de nouveaux…
C'est un travail de chaque instant, comportant des tests de défense continus, la mise en place des meilleures technologies de chaque catégorie, se chevauchant légèrement pour aider à découvrir les éventuels problèmes que les solutions « tout-en-un » peuvent manquer. Enfin, il faut poursuivre sans cesse l’éducation et la sensibilisation des salariés... car le problème se situe souvent entre le clavier et le fauteuil !
Emmanuel Le Bohec, Regional Manager chez Corero Network Security
Commenter cet article