Cet article propose quatre approches complémentaires afin de renforcer la sécurisation des sauvegardes de bout en bout : 

1. Assurer en continu une sauvegarde exploitable 
2. Renforcer la sécurisation de l’infrastructure de sauvegarde contre une prise de contrôle par l’attaquant  
3. Protéger les sauvegardes contre une destruction logique 
4. Identifier les risques résiduels compte-tenu des mesures mises en place 

Cet article fait l’objet d’une première publication sur les approches 1 et 2, suivi d’une seconde publication concernant les approches 3 et 4. 

Les recommandations présentées ne se substituent pas à celles présentées dans les guides de l’ANSSI qui définissent les principes fondamentaux de sauvegarde [2]. 

Schéma 1 : Renforcer la sécurisation des sauvegardes par 4 approches 

1. Assurer en continu une sauvegarde exploitable 

Afin de garantir une sauvegarde exploitable, il est indispensable d’appliquer des fondamentaux.  

Assurer la complétude et la cohérence de la sauvegarde 

L’objectif premier d’une sauvegarde, dans un contexte d’attaque par rançongiciel, est de disposer d’une source de données permettant la reconstruction du système d’information. Elle n’est véritablement efficace que si elle contient l’ensemble des éléments nécessaire à la reconstruction. Cela inclut notamment les données essentielles à l’activité métier, les configurations des applications métiers et des systèmes, les sources d’installation, ainsi que les données opérationnelles critiques, telles que les coffres forts de mots de passe, les licences, ou encore la documentation opérationnelle. 

La complétude des sauvegardes ne peut suffire à elle-même. Le besoin de points de cohérence des données sauvegardées issues de différentes sources (ex : une base de données d’une GED – Gestion Electronique des Documents et des fichiers associés) doit être également pris en considération. Une étude menée en amont permettra de faciliter, lors de la reconstruction, le travail de resynchronisation entre les différents référentiels. 

Enfin, il est également nécessaire de disposer d’une sauvegarde de l’infrastructure elle-même, permettant sa reconstruction à l’identique. Celle-ci doit inclure le catalogue de sauvegarde, les sources d’installation des logiciels, les clés associées aux moyens de chiffrement, ainsi que l’ensemble des autres secrets nécessaires. Une copie des paramètres de configuration est à stocker dans un emplacement, par exemple hors ligne, distinct de l’infrastructure principale, afin de limiter les risques de compromission commune. 

Selon le Cyberbenchmark réalisé par Wavestone sur plus de 170 organisations évaluées, environ de 90% des organisations observées réalisent des sauvegardes régulières de leurs données 

Parmi les organisations réalisant des sauvegardes régulières : 

• Environ 65% effectuent des tests de restauration 
• Environ 20% réalisent des contrôles de cohérence des données métiers 

Dans cette logique, différents contrôles doivent être définis et mis en œuvre de manière régulière.  

Eprouver la fiabilité des sauvegardes par des contrôles réguliers 

Un premier niveau de contrôle vise à s’assurer que les sauvegardes sont bien réalisées et exploitables. Il peut s’appuyer sur l’application de consignes de vérifications quotidiennes, fondées sur des éléments de preuve (rapports, journaux, alertes). Ces vérifications peuvent être manuelles ou (semi)automatisées. Une vérification humaine complémentaire demeure nécessaire, afin de s’assurer que les indicateurs et alertes ne sont pas trompeurs, notamment en cas de compromission ou de neutralisation des mécanismes de supervision et de contrôle par un attaquant. 

Ce premier niveau intègre également des tests de restauration périodiques, réalisés sur des périmètres représentatifs, afin de vérifier, si possible avec la contribution des sachants applicatifs ou du métier, l’intégrité et l’exhaustivité des données nécessaires à la reprise d’activité. 

Le second niveau consiste à s’assurer que les vérifications du premier niveau sont bien appliquées. Il repose sur des contrôles indépendants ou des processus formalisés. Des tableaux de bord peuvent être utilisés pour centraliser les indicateurs de niveau de confiance, en croisant les résultats des vérifications quotidiennes par l’exploitation et des tests de restauration. 

Une fois la fiabilité des sauvegardes établie, il convient d’optimiser les processus de restauration, en les éprouvant et en s’assurant de leur efficacité.    

Industrialiser les processus de restauration pour optimiser les délais de reprise en cas de compromission 

Pour réduire les délais de reprise après compromission, il est essentiel d’industrialiser à l’échelle les processus en vue de restaurations massives. Cela implique de les préparer en amont, de les tester régulièrement et de les adapter aux différents scénarios de destruction. 

La durée de la phase de restauration d’un SI étant susceptible d’être étendue sur plusieurs semaines, voire plusieurs mois, il est nécessaire d’allonger les durées de rétention des sauvegardes qui devront être restaurées, afin d’éviter leur perte par écrasement ou suppression prématurée. 

Les processus de restauration devront inclure des mécanismes permettant de valider rapidement l’état des données sauvegardées, en identifiant, sur la base d’indicateurs de compromission, les données compromises, modifiées ou altérées, afin de cibler efficacement les points de restauration nécessaires. 

Intégrer le risque de compromission des sauvegardes dans la stratégie de restauration 

Afin de garantir une reprise fiable après compromission, il est essentiel de prendre en compte dans la stratégie globale le risque d’altération ou de manipulation des données sauvegardées. Il s’agit de traiter le risque d’une altération ou d’une manipulation des données qui surviendrait en  amont de leur prise en charge par l’agent de sauvegarde, par exemple : 

• Être en mesure de pouvoir s’appuyer sur des sauvegardes complètes (“full”) réalisées avant l’intrusion de l’attaquant, ce jalon ayant été identifié lors des premières investigations. Les données sauvegardées peuvent être alors considérées comme non altérées par l’attaquant et servir à reconstruire des systèmes et des applications.  

La restauration d’éléments applicatifs ou systèmes non altérés, dans le cas où ceux-ci ne sont pas réinstallés à partir de sources fiables, devra également inclure l’application de correctifs de sécurité et de mesures de durcissement visant à prévenir toute nouvelle compromission. 

Le processus de sauvegarde ne peut par lui-même prévenir la compromission éventuelle des données avant qu’elles ne lui soient confiées. Il est possible, selon les cas de mettre en œuvre par exemple : 

• La protection de l’intégrité des données par des mécanismes système ou/et des moyens cryptographiques ; 
• La détection d’une altération par des validations applicatives, la surveillance de données témoins “canaries” ou l’utilisation d’un dispositif EDR – Endpoint Detection and Response. 

Ce sont des sujets à instruire en complément de la protection des sauvegardes. 

Décliner sur les environnements cloud les bonnes pratiques sauvegarde/restauration 

Enfin, les règles de sauvegarde définies pour les environnements sur site doivent être répliquées et adaptées aux environnements cloud. 

Selon le Cyberbenchmark réalisé par Wavestone, environ 25% des organisations observées ont une politique de sauvegarde régulièrement contrôlée et mise à jour, couvrant à la fois le périmètre sur site et celui dans le Cloud. 

En outre, environ 29% des organisations externalisent une sauvegarde de leurs données Cloud dans une autre région ou sur site, en s’assurant de leur résilience face à une attaque cyber et en testant ce processus régulièrement. 

Au-delà de l’exploitabilité des sauvegardes, la sécurisation de l’infrastructure qui les héberge constitue un enjeu tout aussi essentiel et parfois insuffisamment instruit. 

2. Renforcer la sécurisation de l’Infrastructure de sauvegarde contre une prise de contrôle par l’attaquant

Avant d’envisager des mécanismes plus avancés, il convient de rappeler que la protection efficace des sauvegardes repose d’abord sur des bonnes pratiques de sécurisation de l’infrastructure de sauvegarde, notamment celles documentées par l’ANSSI [3]. Une compromission de cette infrastructure pourrait en effet entraîner l’altération (chiffrement, destruction, etc.) des sauvegardes. 

Assurer une défense en profondeur de l’infrastructure de sauvegarde 

Ces bonnes pratiques incluent le cloisonnement des environnements de production et de sauvegarde, l’utilisation de comptes administrateurs dédiés, le durcissement des composants de l’infrastructure (notamment par l’application des guides ANSSI applicables aux systèmes Windows, Linux, etc.). Elles s’appliquent également aux agents de sauvegarde qui peuvent constituer un vecteur de propagation vers les systèmes de production. 

En complément de son durcissement, l’infrastructure de sauvegarde doit faire l’objet d’une supervision technique et cyber. 

Mettre en place la supervision technique et cyber des infrastructures de sauvegardes 

La supervision technique des infrastructures de sauvegarde contribue à garantir leur bon fonctionnement et à détecter toute anomalie. Le traitement effectif des anomalies détectées doit être régulièrement contrôlé. 

La supervision cyber de l’infrastructure de sauvegarde s’appuie sur une journalisation et analyse de flux appropriées. Elle doit être en mesure de détecter les principales attaques constatées. 

Maintenir une veille de la menace ciblée sur les sauvegardes 

Une veille sur la menace ciblant les sauvegardes doit être réalisée, au-delà de la veille des vulnérabilités techniques effectuée dans le cadre du maintien en conditions de sécurité de l’infrastructure de sauvegarde. Cette veille sur la menace doit couvrir les modes opératoires utilisés contre les infrastructures de sauvegarde, afin d’anticiper les attaques possibles et d’adapter en conséquence les moyens de protection, de détection et de réaction. 

Malgré les mesures prises afin de se prémunir d’une compromission des infrastructures de sauvegardes, le risque de leur destruction logique demeure et doit être anticipé. 

Référence

[1] Wavestone, CERT

[2] ANSSI, Sauvegarde des systèmes d’information

[3] ANSSI, Sauvegarde des systèmes d’information

Cet article Les sauvegardes : le dernier rempart face aux rançongiciels – Partie 1  est apparu en premier sur RiskInsight.

Le 17 avril dernier, l’ANSSI a publié des premiers documents doctrinaux concernant la remédiation, qui est définie comme le projet de reprise de contrôle d’un système d’information compromis. Ces documents sont le fruit de l’expérience de l’Agence dans l’accompagnement de victimes d’incidents de sécurité. 

Ce corpus est constitué d’un volet stratégique, d’un volet organisationnel et d’un volet technique. Le volet technique, qui traite à ce stade la remédiation du tier 0 de l’Active Directory1, ou encore cœur de confiance, est appelé à s’enrichir d’autres documents à venir. 

La démarche proposée par l’ANSSI (E3R) s’articule en 3 étapes : 

1. Endiguement de l’attaquant 
2. Eviction de l’intrus du cœur du SI 
3. Eradication des emprises de l’adversaire 

La déclinaison de ces étapes est illustrée à travers 3 scénarios types de la remédiation, de niveaux d’ambition croissants, à arbitrer en fonction de l’urgence du redémarrage et des coûts induits par les dommages à long terme liés à l’attaque : 

1. Restaurer au plus vite les services vitaux
2. Reprendre le contrôle du SI 
3. Saisir l’opportunité pour préparer une maîtrise durable du SI 

La publication de ce corpus s’inscrit opportunément dans les réflexions et projets menés actuellement par de nombreux acteurs publics ou privés, afin de renforcer leur résilience face une cyberattaque réussie qui compromettrait, voire détruirait massivement leur Système d’Information. 

Sur le terrain, le chemin restant à parcourir avant de disposer d’un dispositif de remédiation suffisamment éprouvé, s’évalue plutôt en années qu’en mois pour la plupart des acteurs. 

Ce délai peut s’avérer en décalage avec l’évolution de la menace et avec les échéances règlementaires applicables à certains d’entre eux. 

Plusieurs raisons, variables selon les acteurs, peuvent expliquer ce constat. On peut néanmoins en relever trois : 

1. La prise de conscience du risque cyber, même si elle progresse, reste encore insuffisante chez plusieurs décideurs. Entre adresser les priorités du moment et se préparer au long cours à une hypothétique compromission, le choix d’assigner des précieuses ressources humaines et financières est parfois arbitré. 
2. L’interruption des activités d’une organisation à la suite d’un sinistre informatique a été traitée historiquement via des Plans de Reprise d’Activité / Disaster Recovery Plan. Leurs atouts et limites pour mener une remédiation restent encore mal identifiés au sein des organisations : 
   1. Ils peuvent présenter, selon les principes de reprise retenus, des atouts en matière de savoir-faire de séquencement de la reprise du SI (au même titre qu’un arrêt/redémarrage électrique), de capacités de reconstruction unitaires et groupées, de resynchronisation et de réconciliation de données restaurées, … La remédiation pourra alors tirer parti de ces savoir-faire, s’ils ne se sont pas perdus à la suite de l’adoption de nouvelles solutions (ex : secours actif/actif) ou lorsqu’une « dette » en matière de maintien en conditions opérationnelles et d’exercices du DRP s’est installée. 
   2. Ces plans ont également des limites importantes. Leur architecture repose sur des interconnexions techniques et des réplications de données avec des infrastructures de secours, via lesquelles la compromission pourra se propager. D’autre part, si leur pertinence est avérée dans un contexte déterministe (à tel sinistre correspond telle solution, tel plan), elle l’est nettement moins en raison des caractéristiques et du champ des possibles d’une cyberattaque évolutive. 

Ainsi est nécessaire une approche hybride mêlant les acteurs de la résilience opérationnelle, ceux du « DRP » et ceux du « cyber ». Celle-ci peut être facilitée ou freinée selon la gouvernance en place entre ces populations. 

Afin d’accélérer la montée en maturité nécessaire des acteurs sur le sujet de la remédiation du SI à la suite d’une cyberattaque, plusieurs pistes peuvent être considérées. Nous en citerons quatre : 

1. Aider les décideurs à prendre conscience de la spécificité du risque cyber ; 
2. Ancrer le « compromise by design » dans le quotidien ; 
3. Avoir plusieurs moyens de remédiation à son arc ; 
4. Partager et capitaliser sur les retours d’expérience. 

Aider les décideurs à prendre conscience de la spécificité du risque cyber 

La grande majorité des acteurs n’écarte pas totalement la possibilité d’être vulnérable à une cyberattaque réussie qui paralyserait leurs activités par la destruction logique de leurs actifs informatiques. 

En revanche, une partie notable des acteurs n’a pas encore appréhendé que ses moyens existants en matière de secours informatique sont rarement adaptés aux spécificités de ce type d’attaque. Une cyberattaque peut en effet remettre en cause la disponibilité et la non-compromission des moyens d’exploitation et d’administration, jusqu’aux postes de travail des acteurs du rétablissement du SI. Le temps nécessaire à la remédiation d’un SI massivement détruit par une attaque cyber est communément d’un ordre bien supérieur à celui partagé avec le métier dans le cas d’un sinistre physique. 

Plusieurs acteurs n’ont pas non plus encore pleinement mesuré l’impact de la menace cyber liée à leur écosystème, par exemple : 

• Si leurs fournisseurs de services informatiques de premier rang (infogérant, fournisseur de service Cloud, …), voire des fournisseurs de rang supérieur, sont eux-mêmes impactés par une attaque destructrice réussie ; 
• Si un acteur subit une cyberattaque, avérée ou non, réussie ou non, ses partenaires en ayant connaissance pourront, à des fins de protection, l’isoler de façon unilatérale. 

La sensibilisation des décideurs d’une organisation au risque cyber, à sa déclinaison systémique et à l’impact sur l’activité, doit être développée. Dans le secteur financier, la règlementation DORA ou ses équivalents dans certains pays extra-européens ainsi que les stress-tests annoncés par la Banque Centrale Européenne pour 2024, devraient y contribuer. 

Pour nombre de décideurs, trop de mots techniques habillent ce risque de cyber destruction. Contrairement à des enjeux de conformité, tels que le RGPD, appréhendables par des non-initiés, ce risque est perçu comme un sujet traité entre techniciens. Néanmoins, le sujet est de plus en plus abordé au niveau des comités exécutifs via, par exemple la présence du RSSI/CISO au COMEX et/ou via des intervenants externes rompus à l’exercice d’acculturation des dirigeants. 

Ancrer le « compromise by design » dans le quotidien 

Prendre en compte, depuis la conception des projets jusqu’aux activités d’exploitation, une possible compromission du Système d’Information conduisant à sa destruction, permet de renforcer significativement les capacités de résilience du SI. 

Dès les premières phases projet, les métiers peuvent être sollicités pour identifier et évaluer, avec le support des équipes techniques, des solutions par conception cyber-résilientes. Il peut s’agir entre autres : 

• De faire appel à des fournisseurs de solutions nominales indépendantes techniquement du SI de l’organisation, afin de ne pas faire reposer ses activités exclusivement sur son seul SI ; 
• D’héberger et d’opérer/faire opérer des solutions de secours en dehors du SI de l’organisation ; 
• De recourir à des modèles d’architecture cyber-résilientes sur catalogue « on-premise » ou hébergées dans le Cloud. Ils sont également conçus pour permettre d’éprouver leur résilience tout en limitant l’impact des tests sur la production ; 
• De concevoir des projets permettant un fonctionnement en mode dégradé via : 
  • L’extraction périodique de données métiers au format bureautique, externalisée et protégée dans un service externe de stockage de fichiers ; 
  • La capacité d’applications (et de services tels que la restauration) à fonctionner sans certains services transverses tels que les référentiels d’authentification de l’AD via des comptes locaux de secours, … ;
• D’élaborer des procédures dégradées métiers s’appuyant sur les moyens SI dégradés tels que ceux définis précédemment. 

En outre, l’opportunité de certaines pratiques, bien qu’antinomiques avec des objectifs d’homogénéisation et d’industrialisation, peut être considérée en phase de conception technique, notamment : 

• Favoriser la diversité des technologies de façon à limiter l’exploitation d’une vulnérabilité ; 
• Limiter la dépendance des applications avec le SI transverse afin de les reconstruire et de les rendre opérationnelles plus rapidement. 

En phase de recette, le fonctionnement métier en mode dégradé et la capacité à reconstruire une application peuvent être éprouvés de façon systématique avant mise en production. Ce test peut être revu si besoin à chaque évolution majeure. Il doit être réitéré périodiquement à travers des exercices qui permettront d’éprouver les capacités de remédiation et de faire monter en compétence les différents acteurs opérationnels. 

Au-delà de la phase projet, plus des pratiques de reconstruction des actifs pourront être intégrées dans le quotidien (« Business As Usual »), mieux elles seront maîtrisées et par davantage d’acteurs en cas de remédiation, par exemple : 

• Reconstruction, une ou deux fois par an, à partir de moyens hors SI (ex : services Cloud ou moyens hors ligne), des postes de travail utilisés pour les tâches d’administration et/ou d’activités critiques ; 
• Reconstruction, une fois par an, d’infrastructures essentielles au rétablissement du SI (ex : infrastructures de restauration, cœur de confiance, socle de virtualisation, …), à déterminer sur la base de l’analyse de la menace et des risques ; 
• Développement de pratiques CI/CD au quotidien, notamment dans les environnements Cloud, afin d’automatiser la recréation des serveurs pour leur appliquer des changements, tels qu’une montée de version ou des correctifs. 

Enfin, maintenir au quotidien la cartographie du SI (y compris ses interconnexions avec les partenaires et Internet) et ses interdépendances à jour est un facteur clef de la remédiation, qu’il faut soutenir via des processus, un outillage (cyber-résilient) et des contrôles adaptés. 

Avoir plusieurs moyens de remédiation à son arc 

Face à la difficulté de prévoir à l’avance le déroulement d’une cyberattaque et l’évolution de ses impacts, la préparation d’un plan nécessite de trouver le juste milieu entre deux excès : 

• Élaborer des solutions de reconstruction adaptées à nombre trop restreint de scénarios d’attaque, avec le risque inhérent aux impasses,
• Ou, au contraire, chercher à couvrir l’exhaustivité des scénarios possibles, au prix d’une perte notable d’efficience. 

Une analyse de risque réactualisée des scénarios possibles d’attaque, s’appuyant notamment sur une veille de la menace, permet de prioriser ceux à couvrir, tels que ceux qui présentent la plus forte vraisemblance de réussite et l’impact le plus important dans le contexte de l’organisation.  

Cette analyse facilite l’identification des hypothèses qui vont servir d’entrants à l’élaboration des plans. Par exemple : 

• Prévoir la reconstruction industrialisée de la couche de virtualisation de serveurs physiques n’apparaissait pas comme une nécessité pour la grande majorité des acteurs il y a encore un an ; elle est désormais identifiée comme essentielle. 
• La destruction des ressources Cloud via la compromission de l’accès au tenant (comptes maître ou accès API) voire la compromission du fournisseur Cloud lui-même, apparaît pour plusieurs acteurs comme un nouveau risque à prendre en compte dans leur stratégie de résilience Cloud. 

Une fois des hypothèses de travail choisies ou écartées (ex : tels types de composants et de technologies impactés, telles capacités résiduelles des codes malicieux une fois ses moyens d’interagir avec l’attaquant coupés, …), il est possible d’évaluer la pertinence des différents moyens possibles de reconstruction et de mieux prioriser les travaux : 

• Restauration de systèmes et/ou de données métiers à partir de sauvegardes, le cas échéant dans un environnement isolé (ex : à partir de « snapshots », de sauvegardes hors ligne ou « immuables ») ; 
• « Nettoyage » des environnements restaurés et potentiellement déjà compromis lors de leur sauvegarde (ex : via un antivirus pour les fichiers bureautiques et systèmes potentiellement compromis, via un EDR sur des systèmes relancés dans un environnement isolé ou via des solutions pouvant nettoyer directement l’image sauvegardée d’un serveur virtuel) ; 
• Réinstallation de couches techniques compromises (ex : OS, middleware …) ; 
• Réapprovisionnement des infrastructures virtuelles (ex : Terraform, …) ; 
• Stratégies et solutions pouvant couvrir à la fois le risque de sinistre classique et le sinistre cyber (ex : SI de secours indépendant du SI nominal, dont les données métiers sont rafraîchies par un dispositif maintenant l’étanchéité technique). 

Cette évaluation doit pouvoir conduire à l’élaboration d’un « catalogue » de moyens de remédiation., dont l’application doit être contextualisée au moment du traitement de l’attaque. En complément de chaque solution de reconstruction au catalogue, l’identification d’une solution alternative – peut-être moins industrialisée – permettra de mieux faire face à l’aléa du contexte de l’attaque. 

Partager et capitaliser sur les retours d’expérience 

Afin de gagner plus rapidement en maturité et en efficience dans le domaine de la remédiation, les acteurs du marché gagnent à capitaliser sur l’expérience des autres. 

Il peut s’agir de capitaliser via : 

• Des études, telle que le corpus doctrinal publié par l’ANSSI ; 
• Des échanges directs avec ses pairs ou par l’intermédiaire d’acteurs tiers ; 
• Des groupes de travail où son écosystème de partenaires sera si possible représenté. 

Les retours d’expérience à rechercher peuvent porter sur la spécificité du contexte cyber dans la remédiation mais également sur des aspects plus classiques liés à la reconstruction d’un SI tels que : 

• Les méthodes et démarches mises en œuvre ; 
• Les solutions du marché éprouvées (au-delà des promesses) ;  
• Les performances atteintes (délais de reconstruction) ;  
• Les coûts ;  
• Les aspects logistiques et RH (proches de la gestion de crise) ;  
• Les aspects plus fonctionnels tels que la réconciliation de données, faisant suite à des points de restauration différents et à des flux perdus avec des tiers. 

Autres articles sur le sujet de la remédiation : 

Survivre à une compromission d’Active Directory : les principaux enseignements pour améliorer le processus de reconstruction 

Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ? 

Reconstruction d’Active Directory : comment se donner les moyens d’y parvenir ? 

A venir prochainement sur https://www.riskinsight-wavestone.com/ : la remédiation des postes de travail 

Cet article « Compromise by design » ou comment anticiper une cyberattaque destructrice est apparu en premier sur RiskInsight.

• Dans cette affaire, le FBI a fait appel à des techniques de Renseignement d’Origine Sources Ouvertes (ROSO) ou Open Source INTelligence (OSINT) dans son appellation anglaise plus usitée.

Aperçu et cas d’usage

Derrière la myriade d’acronymes liés à l’OSINT (SOCMINT, GEOINT et consors) se cache finalement une méthodologie unique : identifier et consolider des informations variées relatives à une cible, en s’appuyant sur des outils et services accessibles publiquement. De manière similaire à des activités d’audit technique, la démarche sous-jacente sera itérative, avec son lot de faux-positifs et ses impasses.

Indépendamment des informations recherchées, les techniques utilisées pourront aller d’une passivité complète (recherche sans être authentifié, sans laisser de traces) à une interactivité beaucoup plus forte (envoi de mails, abonnement ou interaction sur réseau social …).

Bien que ce champ spécifique de la cybersécurité évolue rapidement, les constantes seront :

• Rester humble et critique quant à la qualité des sources et informations récupérées.
• Rester conscient des traces générées et laissées à la suite de nos recherches.
• Considérer les aspects légaux, notamment concernant la recherche et la rétention de données personnelles.

A l’heure actuelle, les possibilités offertes par les méthodes et outils d’OSINT permettent de consolider de l’information dans des domaines divers :

• Du côté organisationnel et humain, il s’agira essentiellement d’investigations financières, d’obtention d’une vue consolidée de la concurrence, ou bien de chasseurs de tête ou avocats.
• Côté technique, les objectifs pourront être la réalisation d’une veille proactive sur les acteurs et les menaces, ou bien l’obtention d’un aperçu de l’exposition d’une organisation sur Internet, avec recherche de points d’entrées techniques ou de données fuitées.

Dans les deux cas, les attaquants déploient des méthodologies similaires pour arriver à leurs fins, qu’il s’agisse de doxing, de chantage ou de fraude, ou bien simplement de la phase de reconnaissance d’une cyberattaque plus étendue.

Quel marché pour l’OSINT ?

Le marché de l’OSINT est en pleine croissance (+20 à +25% par an en moyenne selon les études[2]).

On y retrouve notamment les acteurs liés aux solutions marketing, à l’intelligence économique et à la sécurité intérieure ; ainsi que les acteurs liés au renseignement sur la menace cyber ou à la fourniture de solutions plus spécifiques à l’OSINT.

• Les plateformes de veille marketing, telles que Brandwatch, Cikisi ou Digimind, qui vont par exemple pouvoir analyser ce qui est dit sur les réseaux sociaux sur telle marque.
• Les acteurs spécialisés dans le conseil et les investigations en matière d’intelligence économique, tels qu’Avisa partners/CEIS, ADIT ou Axis&Co.
• Les solutions orientées sécurité intérieure, avec des acteurs :
  • français, tel Thales avec OSINTLab utilisé par la Gendarmerie Nationale, ou Airbus ;
  • étrangers, tel l’américain Palantir, utilisé transitoirement par des administrations régaliennes françaises, dans l’attente d’une alternative souveraine encouragée par les pouvoirs publics[3].
• Les acteurs du renseignement sur la menace cyber (Threat Intelligence) :
  • travaillant plus classiquement sur les groupes d’attaquants, les tendances, les vulnérabilités, tels que Sekoia et Tehtris ;
  • ayant la capacité d’automatiser des recherches, telles que les fuites d’informations sur la base de mots clefs (par ex. CybelAngel) ou l’empreinte numérique d’un ensemble de personnes (par ex. AnozrWay).
• Les fournisseurs de solutions commerciales spécifiques, utilisées notamment à des fins :
  • de surveillance automatisée de sources de données du Web, voire du Darknet, tels que Fivecast Onyx ou Aleph Networks ;
  • de retranscription/indexation de la parole issue par exemple de vidéos postées en ligne, tel que Chapvision et de traitement du langage naturel, tel que expert.ai ;
  • d’aide à l’investigation, tel que Maltego ou Osidian.

Outils

Le panel des outils OSINT essentiels est constamment changeant, et largement à adapter en fonction des objectifs fixés. On compte principalement les typologies suivantes :

• Les outils publics, tels que les grands moteurs de recherche (Google, Yandex, Bing …) et leurs services de reverse lookup, les sites de stockage et d’archive (Pastebeen, WaybackMachine …), les services de tracking (avions, bateaux …) ainsi que certains réseaux sociaux.
• Les services SaaS spécialisés, disposant le plus souvent d’offre d’essai ou de versions gratuites, mais qui limitent généralement la quantité et qualité de l’information présentée. Les cas d’usage peuvent être orientés vers la recherche de personnes (Lusha, Kaspr, Anywho, Hunter.io …), de recherche de visages (TinEye, PimEyes), de recherche d’informations techniques (Shodan, IntelX.io, Onyphe, BinaryEdge), voire de recherche de fuites (HaveIbeenpwnd, DeHashed …).

Des boîtes à outils diverses, comptant des frameworks complets (Maltego, Lampyre), ainsi qu’un grand nombre d’outils et scripts open-source (GHunt, Maigret, Phoneinfoga …). Une majorité de ces outils s’appuieront sur une automatisation via Selenium, et se confronteront aux limitations d’API et contremesures éventuelles des services visés.

Dans le cadre d’une investigation, la clé sera de positionner nos besoins sur le triptyque Qualité de l’information / Prix de l’information / Simplicité d’accès (rapidité, développements spécifiques …), et d’adapter le choix des outils en conséquence, au vu du temps et des moyens financiers déployés.

Le cadre juridique entourant les activités d’OSINT étant souvent flou et pouvant dépendre des pays ou zones géographiques, la pérennité de certains outils et plateformes n’est jamais assurée. D’où l’utilité d’avoir une boîte à outils redondante, et d’actualiser cette dernière régulièrement. A titre d’exemple, le site de recherche d’informations techniques Spyse, hébergé principalement en Ukraine, a vu ses services interrompus depuis Mars 2022.

Comment se protéger d’un usage malveillant de l’OSINT ?

Trois conseils peuvent être donnés aux acteurs souhaitant limiter l’exposition de leur empreinte numérique :

1/ (Faites) rechercher votre empreinte numérique sur Internet et nettoyez ce qui peut l’être (fermer ses comptes inutiles, ne pas exposer d’information non souhaitée – notamment à l’aide des paramètres de confidentialité).

2/ Diversifiez et cachez vos identifiants et mots de passe (ex : évitez de laisser des informations permettant de faire un rapprochement avec votre identité, dans les comptes que vous choisissez ou qui vous sont proposés par défaut).

3/ Avant de poster du contenu public, réfléchissez si celui-ci pourrait être exploité contre vous ; parlez de ce sujet avec vos proches en leur rappelant qu’Internet n’oublie pas.

Quel cadre règlementaire applicable à l’OSINT ?

Il n’existe pas en France de cadre règlementaire spécifique applicable à l’OSINT, ce qui est également généralement le cas à l’étranger. Le cadre légal existant est cependant applicable, en particulier :

• La loi Godefrain qui va réprimer le fait d’accéder, de se maintenir frauduleusement dans un système d’information, d’extraire, de détenir ou de reproduire frauduleusement ses informations. Le caractère frauduleux peut dans certains cas consister à contourner un simple mécanisme de sécurité ou à télécharger des fichiers exposés par erreur. Il est apprécié, au cas par cas, par des juges dont le niveau de familiarisation avec le numérique peut être variable.
• Le Règlement Général sur la Protection des Données (RGPD). La CNIL a par exemple condamné[4] en octobre 2022 la société ClearView AI, champion de l’indexation des photos de visages sur Internet. Clearview annonce un objectif de 100 milliards de photos indexées, soit 10 fois plus qu’en 2020.

En complément du cadre règlementaire applicable aux pays concernés et dont les jurisprudences peuvent diverger, il est souhaitable que les acteurs menant des activités d’OSINT s’inscrivent dans un cadre de bonnes pratiques. On peut mentionner à cet effet le Berkeley Protocol[5], même si ce dernier est plus particulièrement orienté vers les investigations.

Que peut concrètement apporter l’OSINT en matière de cybersécurité ?

La prolifération des techniques et outils d’OSINT, accessibles au plus grand nombre, peut faciliter son usage et son industrialisation à des fins offensives, vis-à-vis de systèmes d’informations, de personnes et d’organisations.

Se mettre à la place d’un attaquant, en recourant comme lui à l’OSINT, est une façon de mieux s’en protéger. C’est ainsi que l’OSINT trouve notamment sa place dans certaines analyses de risque, démarches de sensibilisation de personnes exposées, ou missions RedTeam. Mais toujours dans un cadre légal et éthique auquel, l’attaquant, lui, ne s’astreindra pas.

_________________________________

[1] Détail du rapport https://heavy.com/wp-content/uploads/2020/06/merged_87745_-1-1592492707.pdf

[2] Notamment Open-Source Intelligence (OSINT) Market by GMInsights https://www.gminsights.com/industry-analysis/open-source-intelligence-osint-market et Open-Source Intelligence (OSINT) Market by Market Research Future https://www.marketresearchfuture.com/reports/open-source-intelligence-market-4545

[3] « Chapsvision annonce l’acquisition d’Ockham Solutions après avoir finalisé celle de Deveryware » https://www.aefinfo.fr/depeche/680407  et « Une alternative française au logiciel d’analyse de données de Palantir est possible, d’après Thales » https://www.usine-digitale.fr/article/une-alternative-francaise-au-logiciel-d-analyse-de-donnees-de-palantir-est-possible-d-apres-thales.N1020429

[4] « Reconnaissance faciale : sanction de 20 millions d’euros à l’encontre de CLEARVIEW AI »  https://www.cnil.fr/fr/reconnaissance-faciale-sanction-de-20-millions-deuros-lencontre-de-clearview-ai

[5] « Berkeley Protocol on Digital Open Source Investigations » https://www.ohchr.org/sites/default/files/2022-04/OHCHR_BerkeleyProtocol.pdf

Cet article L’OSINT ou le renseignement 2.0 est apparu en premier sur RiskInsight.

Deux actes médiatisés ces dernières années l’illustrent parmi bien d’autres : la fuite des données d’un parti politique français retrouvées sur le site de son hébergeur, en utilisant un Dork du type « Index of /», ou la découverte, par des services de contre-espionnage, de sites internet servant pour la communication entre une agence étatique et ses informateurs, entraînant la mort de plusieurs dizaines d’entre eux.

Sur Internet, la pêche aux « Dorks » s’exerce via des moteurs de recherche tels que Google et Bing mais également sur des moteurs hors US/EU qui, tout comme les sites d’archivage de pages web, sont susceptibles de conserver des informations retirées des bases d’index des moteurs de recherche classiques.

A titre illustratif, la recherche suivante : « inurl:files intext:nationalité filetype:xls intext:<un prénom ou un nom de famille type> » entrée sur un moteur de recherche largement utilisé, est susceptible de retrouver des fichiers Excel où figurent des informations nominatives mentionnant la nationalité de personnes. Cependant un seul mot bien choisi, par exemple le nom d’une application métier recherché sur Internet ou le mot « salaire » recherché sur l’intranet, peut suffire à pêcher des informations très sensibles.

Les moteurs de recherche internes à certains sites peuvent être également exploités. C’est le cas, par exemple, des sites spécialisés dans la mise en ligne de codes sources (ex : GitHub) ou de morceaux de textes (ex : PasteBin), des sites de forums techniques d’éditeurs de logiciels, ou de sites de CV en ligne contenant des descriptions parfois très précises sur des environnements techniques sensibles.

Le « Dorking » est à la portée du plus grand nombre, grâce aux nombreux tutoriels accessibles sur Internet, aux formulaires de recherches étendues (ex : celui de startpage.com) et surtout aux sites référençant des milliers de Dorks (ex : Google Hacking Database) organisés en fonction de l’usage attendu tel que retrouver des « Fichiers contenant des mots de passe ».

Le Dorking s’effectue plus communément à l’aide de recherches manuelles mais est susceptible d’être industrialisé grâce à des « Dork scanners » comme Zeus-scanner ou à l’aide d’outils PowerShell (PnP-PowerShell) pour les recherches dans Office365.

Pour se prémunir de l’exploitation malveillante du Dorking, les organisations peuvent notamment :

• Être en capacité de détecter les fuites d’informations sensibles sur le SI interne ou sur Internet, en examinant par exemple l’opportunité de recourir sur le SI interne à des produits de type DLP et sur internet à un service de veille des fuites d’informations, qui pourra également surveiller l’internet non-indexé, voire le Dark-Web.
• Mettre en place une classification des données et une gouvernance des partages internes (ex : les Groups Office 365) en commençant par les activités les plus sensibles (ex : groupes métiers sensibles, données clients, RH…).
• Encadrer contractuellement et opérationnellement les missions confiées aux prestataires via un Plan d’Assurance Sécurité et les sensibiliser à la protection et à la non-divulgation des informations auxquelles ils peuvent accéder ; lorsque c’est possible, prévoir un PV de destruction de données.
• Encadrer la communication d’informations sensibles aux partenaires sociaux, aux associations, etc. qui ne disposent pas toujours sur leur SI et sites Internet dédiés, de moyens de protection SSI équivalents à ceux de l’organisation ou de l’entreprise à laquelle ils sont liés.

Les organisations peuvent également prendre des mesures visant à limiter l’impact d’une fuite de données avérée :

• Disposer d’une fiche réflexe pour traiter la fuite, incluant la conduite à tenir vis-à-vis des moteurs de recherche et des sites l’ayant indexée (ex : gestion du référencement Google, etc …)
• Disposer d’un processus de gestion des incidents de sécurité, de data-breach (GDPR), de gestion de crise… incluant la notification potentielle aux autorités et personnes concernées.
• Disposer d’un processus et d’outils de veille sur les réseaux sociaux et media avec des réponses préparées.

Cette prévention peut en outre conduire à recourir à la technique du Dorking à des fins éthiques, tels que des audits de sécurité, ou des activités « Red Team » qui visent à se mettre à la place d’un acteur malveillant pour découvrir – avant lui – les failles et les informations qui permettraient de porter atteinte à l’organisation. Néanmoins, en fonction du contexte, il peut être préférable de bien encadrer en amont la communication des résultats de la mise en œuvre de techniques de Dorking, lesquelles peuvent donner lieu à la découverte d’informations personnelles ou/et sensibles, sur des ressources liées à l’entreprise ou à des acteurs externes.

Cet article Le Dorking ou la pêche aux informations sensibles via les moteurs de recherche est apparu en premier sur RiskInsight.

L’IMPORTANCE DU FACTEUR HUMAIN

Selon la légende, un homme déguisé en moine pénétra sans attirer la méfiance dans une forteresse du sud-est de la France (actuel Monaco), une nuit de janvier 1297. Il put ainsi ouvrir à des soldats qui s’en emparèrent facilement. Il en va de même pour des attaques perpétrées à l’aide de dispositifs USB familiers, que l’utilisateur branche en tout confiance sur le port d’une machine.

Une étude publiée au Blackhat USA en 2016 a montré que 45% des 297 clefs USB disséminées sur un campus universitaire ont été connectées à des ordinateurs et leurs fichiers ouverts. Cette étude illustre bien la capacité à mener des attaques efficaces via des clefs USB et pour un coût minime.

Par ailleurs qui n’a jamais laissé un téléphone portable se recharger sur l’un des ports USB de son PC ?

Si la connexion au réseau fait le plus souvent l’objet de nombreuses mesures de sécurité, les autres portes que constituent les ports USB font, généralement, l’objet d’une attention moindre, sur les serveurs, les postes de travail et désormais les tablettes et smartphones qui intègrent la technologie USB On-The-Go.

Les dispositifs USB sont présents partout, tirant partie de l’interopérabilité de l’Universal Serial Bus.

Le revers de la médaille de ce développement historique et de sa compatibilité descendante, est qu’il n’a pas été techniquement conçu « security by design » et que ces dispositifs offrent une large surface d’attaque.

Figure -Vidéo illustrative de sensibilisation sur la sécurité des clefs USB

UN LARGE PANEL D’ATTAQUES RENDUES POSSIBLES PAR L’USAGE (PRESQUE) INCONTOURNABLE DES DISPOSITIFS USB ET AU MANQUE INTRINSÈQUE DE SÉCURITÉ DES STANDARDS HISTORIQUES

Les périphériques de stockage amovibles, clefs ou disques USB, peuvent servir de vecteur à la propagation d’un code malicieux. D’autres types de périphériques USB (ex : webcam, clef 4G) peuvent également intégrer une fonction de stockage amovible, par exemple pour faciliter l’installation du pilote logiciel du périphérique.

La provenance légitime d’une clef USB ne peut garantir entièrement son innocuité, si celle-ci a été compromise en usine ou avant l’envoi aux clients, comme cela a pu arriver récemment à un fournisseur de systèmes de stockage.

Par ailleurs, un périphérique USB d’apparence banale, peut avoir été reprogrammé ou modifié physiquement pour compromettre ou endommager le système sur lequel il est branché, par exemple :

• En se faisant passer pour un clavier et envoyer des commandes au système hôte, lesquelles vont par exemple permettre sa prise de contrôle à distance. Il est à cet effet possible de reprogrammer une clef USB du commerce (voir cas d’usage illustratif dans la vidéo ci-dessus) ou d’utiliser un dispositif ayant l’apparence d’une clef USB classique ;
• En se faisant passer pour une interface réseau et un serveur DHCP/DNS, afin notamment d’intercepter le trafic de l’utilisateur, d’introduire des portes dérobées sur le poste de l’utilisateur, de faire exécuter par son navigateur des codes malveillants sur des sites sur lesquels il est autorisé à se connecter, voire d’exposer un  routeur interne ;
• Pour détruire le système hôte en délivrant au connecteur des tensions élevées.

Une clef USB peut également être utilisée pour attaquer des équipements sensibles déconnectés du réseau de l’entreprise, par exemple des équipements industriels, lorsque celle-ci est utilisée en « navette » avec des postes connectés internet, donc à un attaquant externe potentiel.

Il est également possible de tirer parti du rayonnement électromagnétique qui peut se produire au travers d’un périphérique/câble USB, d’un poste isolé de tout réseau, pour permettre à un code malicieux, introduit via le dispositif USB, d’exfiltrer des informations à quelques mètres.

Les attaques consécutives à la modification de périphériques USB restent encore limitées, assez ciblées et potentiellement très efficaces (ex : Stuxnet en milieu industriel). La mise au point de certaines de ces attaques est facilitée par les sources d’informations, les tutoriels et les outils librement accessibles sur Internet.

L’arrivée de l’USB-C, également utilisé comme alimentation électrique des nouveaux ordinateurs portables, peut contribuer à augmenter un peu plus la surface d’attaque (chargeurs, packs de batterie), tant que la compatibilité avec des standards non sécurisés devra être maintenue pour des raisons de compatibilité descendante avec les autres versions d’USB et dans l’attente de la généralisation de futurs chargeurs sécurisés.

LES CONTRE-MESURES DOIVENT ÊTRE CIBLÉES SUR LES RISQUES LES PLUS ÉLEVÉS (ET DONC ÉGALEMENT SUR L’HUMAIN)

L’évaluation des risques liés aux dispositifs USB doit permettre d’identifier les périmètres du SI et les populations vers lesquels cibler en priorité les contre-mesures :

• Sensibilité des populations (VIP, mainteneurs, administrateurs systèmes …) ;
• Sensibilité de l’équipement sur lequel il est possible de connecter un dispositif USB (poste utilisateur, poste sensible déconnecté du réseau, station d’administration, serveur, équipement industriel …).

La connexion d’un périphérique USB à un équipement passe par un choix humain. Il est donc essentiel de sensibiliser les acteurs, y compris leur management opérationnel, par des actions classiques (supports de communication des risques et des bonnes pratiques, …) voire plus innovantes (ex : disperser des clefs USB témoins remontant une alerte une fois connectées à un poste de travail, effectuer des démonstrations, organiser des jeux de plateau pour entraîner des populations plus ciblées à évaluer certaines prises de risque, …).

Les contre-mesures techniques sont un complément. Leur efficacité demeure toutefois variable.

• Un antivirus pourra le plus souvent détecter un fichier infecté sur un périphérique de stockage USB avec la même efficacité que si ce fichier se trouvait sur un autre espace de stockage. Certains produits pourront n’autoriser la lecture du contenu d’un stockage amovible, que si celui-ci a préalablement été chiffré avec une clef permettant d’y accéder seulement depuis des postes de l’entreprise ;
• Des équipements de ‘sas’ de décontamination peuvent également être utilisés pour sécuriser les échanges de fichiers entre une clef USB et le SI de l’entreprise ;
• Des solutions logicielles permettent de contrôler la connexion d’un dispositif USB à des groupes de postes ou serveurs, en fonction de caractéristiques annoncées lors de son branchement. Il s’agit du moyen le plus répandu pour maîtriser la connexion des dispositifs USB. Cependant, un dispositif USB modifié peut dans certains cas arriver à tromper cette protection logicielle ;
• Le marché propose également des clefs USB avec un micrologiciel sécurisé, qui permettent de s’assurer que celui-ci n’a pas été reprogrammé. Néanmoins, il reste toutefois possible d’introduire dans l’entreprise des dispositifs piégés reprenant ou imitant le packaging extérieur de clefs USB sécurisées ;
• La neutralisation ou le blocage physique des ports USB, en particulier sur les postes les plus sensibles, tels que des stations d’administration ou des stations de conduite dans le milieu industriel, reste toutefois une solution assez efficace pour des périmètres spécifiques.

Nous devrons attendre encore un peu avant de pouvoir pleinement bénéficier d’une sécurité efficace portée par de nouveaux standards USB. En attendant, le parc non sécurisé et le risque s’accroissent. Pour y faire face, ne comptons pas uniquement sur des réponses techniques et ne négligeons pas le facteur humain.

Cet article L’habit ne fait pas le moine – Ou l’importance du facteur humain dans la maîtrise du risque USB est apparu en premier sur RiskInsight.