Les attaquants ont bien compris cet enjeu et nous voyons de plus en plus de cyber-attaques touchant les sauvegardes. Comme le souligne le benchmark 2021 des cyber-attaques en France, dans 21% des attaques par ransomware, les systèmes de sauvegarde ont été ciblés jusqu’à être rendus inutilisables.

Quel est le mode opératoire des attaquants pour atteindre les sauvegardes ?

Tout d’abord, les sauvegardes peuvent être touchées en tant que dommage collatéral. Ce fut le cas il y a quelques années lors d’une cyber-attaque chez l’un des clients du CERT-Wavestone : l’infrastructure de gestion des sauvegardes a elle-même été chiffrée par le ransomware et il a fallu la reconstruire avant de pouvoir restaurer les sauvegardes.

Lors d’attaques par ransomware, les attaquants peuvent aussi cibler directement les sauvegardes pour forcer leur cible à payer la rançon. Par exemple, il y a moins d’un an lors d’une réponse à incident du CERT-Wavestone, l’attaquant avait pris soin de détruire toutes les sauvegardes avant de chiffrer le système d’information du client. Il avait pu arriver à ses fins car l’infrastructure de gestion des sauvegardes était administrée à travers un compte dans l’Active Directory. L’attaquant ayant réussi à élever ses privilèges au plus haut niveau, il a pu aisément se connecter sur l’infrastructure de sauvegarde et supprimer toutes les données sauvegardées.

Des premières mesures de protection peuvent déjà fortement réduire le risque

Dans 100% des crises ransomware gérées par le CERT-Wavestone, l’attaquant possédait des comptes d’administration du domaine Active Directory. Pour empêcher l’attaquant d’atteindre les sauvegardes par ce biais, il faut donc séparer l’infrastructure de sauvegarde de l’Active Directory : s’assurer que les comptes d’administration des sauvegardes ainsi que les serveurs de sauvegarde sont hors Active Directory (NB : cela n’empêchera pas cette infrastructure de sauvegarder les ressources gérées dans l’Active Directory).

Pour réduire davantage le risque de compromission d’un compte d’administration, il faut aussi renforcer l’accès d’administration des sauvegardes, avec par exemple une authentification multi-facteur (MFA).

Par ailleurs, les attaques par ransomware se propageant souvent sur le même système d’exploitation, il peut être intéressant d’adopter un système d’exploitation différent pour l’infrastructure de sauvegarde. Sinon, a minima effectuer une copie du catalogue de sauvegarde (base de données contenant les pointeurs vers les sauvegardes) sur un système d’exploitation différent, afin de permettre une restauration rapide de l’infrastructure de sauvegarde en cas de compromission.

En complément, il est parfois possible d’appliquer des mesures de rétention des données sauvegardées au niveau de la technologie de stockage des sauvegardes, comme l’application d’un délai avant la suppression réelle des données ou bien la conservation d’une copie (ou snapshot) sur la baie de stockage. Cela permet de s’accorder un délai d’un ou plusieurs jours avant la perte complète des données en cas de suppression.

Pour aller plus loin…

Différentes initiatives émergent, visant à standardiser les mesures de protection des données face à la menace grandissante (e.g. Secure Tertiary Data Backup Guideline par la HKAB – Hong Kong Association of Banks, Sheltered Harbor aux Etats-Unis…).

Par ailleurs, les éditeurs de solutions de sauvegarde construisent leurs solutions en prenant en compte la menace cyber, avec des fonctionnalités de détection de ransomware, des fonctionnalités d’immutabilité (pour rendre les données sauvegardées complètement inaltérables, même pour un administrateur) ou encore des possibilités d’isolation « hors-ligne » des sauvegardes.

Ces solutions peuvent être adoptées en remplacement ou bien en complément de solutions de sauvegarde existantes. Néanmoins, elles nécessitent souvent des investissements importants. Or comme nous l’avons vu, un certain nombre de premières mesures de protection peuvent déjà fortement réduire le risque. Il convient donc de bien identifier les scénarios de menace redoutés et son niveau d’exposition, ainsi que les éventuels besoins de conformité (réglementations, standards…), afin de définir une feuille de route adaptée de montée en maturité.

Cet article se veut être une introduction à la protection des sauvegardes contre les cyber-attaques. Nous aurons l’occasion d’approfondir le sujet dans le cadre de futures publications.

Cet article Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ? est apparu en premier sur RiskInsight.

Avec la diffusion de plus en plus importante des malwares, et depuis les révélations d’Edward Snowden en 2013, la sécurité et la confidentialité des échanges sont devenues des critères pesant lourd dans le choix d’une solution de messagerie instantanée. La multiplication des applications est rythmée par les incidents de sécurité, allant des soupçons de censure de WeChat par le gouvernement Chinois à l’installation de malwares à travers Telegram, ou plus récemment la vulnérabilité critique qui a touché WhatsApp. Ainsi, les applications de messagerie protègent-elles suffisamment les échanges des utilisateurs ? Quelles sont les réponses des éditeurs face aux menaces, criminelles comme étatiques, qui pèsent sur les messages qu’ils transportent ?

Le chiffrement de bout en bout : solution miracle ou simple outil marketing ?

Le chiffrement de bout en bout est souvent la solution mise en avant par les éditeurs pour montrer qu’ils prennent soin de la confidentialité des échanges, notamment en cas de demande d’un gouvernement ou d’un système judiciaire. Sa sécurité repose en effet sur le transport de messages inintelligibles pour l’éditeur, qui ne peut donc pas en révéler le contenu à quiconque, et déchiffrables uniquement par les destinataires.

A l’heure où nous écrivons ces lignes, plusieurs approches ont été adoptées par les éditeurs :

• La majorité applique un chiffrement de bout en bout par défaut, pour les discussions à deux ou en groupe – c’est le cas par exemple de WhatsApp, Viber, Signal, iMessage, Threema, Wire, etc.
• D’autres ne l’appliquent pas par défaut, mais permettent aux utilisateurs de l’activer en accédant à une « conversation secrète» – c’est le cas notamment de Telegram et Facebook Messenger. Il faut noter que dans ce cas, seuls les échanges entre deux personnes peuvent être « secrets », et pas les conversations en groupe.
• Les applications restantes ne proposent simplement pas de chiffrement de bout en bout – comme par exemple WeChat ou Discord. Les messages sont du moins transmis à travers un tunnel chiffré HTTPS, mais leur contenu est traité en clair et est lisible par les serveurs de l’éditeur.

Pour assurer le chiffrement de bout en bout, différents mécanismes sont utilisés par les applications. Aujourd’hui, la plupart des applications s’appuient sur des mécanismes robustes, reposant sur des algorithmes de chiffrement à l’état de l’art (Curve25519, AES256…). Parmi ces mécanismes, on peut noter le protocole open-source Signal, développé par Open Whisper Systems pour son application éponyme, et depuis utilisé par d’autres applications comme WhatsApp ou dans les « conversations secrètes » de Facebook Messenger.

On peut donc considérer que les applications proposant un chiffrement de bout en bout ont une plus-value certaine, tout du moins pour les utilisateurs soucieux de la confidentialité ou du caractère privé de leurs conversations. Face à cela, le bon vieux SMS – qui, rappelons-le, reste vulnérable à une attaque de type man-in-the-middle – fait pâle figure !

Néanmoins, comme nous allons le voir, il ne faut pas s’arrêter au chiffrement de bout en bout qui, seul, pourrait donner un faux sentiment de sécurité aux utilisateurs.

Au-delà du chiffrement de bout en bout : d’autres facteurs pour mieux apprécier la sécurité de ces applications

Mis à part le contenu des discussions, vraisemblablement protégé lorsqu’il est chiffré de bout en bout, les messageries instantanées manipulent un certain nombre de métadonnées : contacts, numéros de téléphone, date et heure d’envoi des messages… Autant de données qui représentent déjà une source importante d’informations sur l’utilisateur, et qui sont souvent collectées par l’éditeur et stockées sur ses serveurs – c’est le cas notamment des applications WhatsApp et iMessage. Certaines applications proposent un niveau de confidentialité supérieur en assurant que seul un minimum d’informations sera collecté – ainsi l’application Signal par exemple collecte uniquement les dates et heures d’inscription et la date de dernière connexion.

Par ailleurs, des fonctionnalités de sécurité supplémentaires permettent d’atteindre un meilleur niveau de confidentialité. Par exemple, certaines applications comme WhatsApp ou Signal permettent de confirmer le chiffrement de bout en bout en scannant un QR-code sur le smartphone du destinataire. D’autres comme Telegram ou Signal offrent la possibilité d’envoyer des messages éphémères, qui s’auto-détruisent au bout de quelques secondes ou minutes, ce qui peut être intéressant pour certains usages mais reste limité (possibilité de capture d’écran voire photo de l’écran).

Pour les communications de groupes, les applications se basent souvent sur un serveur central pour authentifier les utilisateurs et déterminer qui reçoit les messages, comme c’est le cas par exemple pour WhatsApp ou Signal. La compromission de ce serveur peut ainsi permettre à un attaquant d’ajouter un faux membre à un groupe pour accéder aux échanges. Pour contrer cette attaque, la notification lors de l’ajout d’une personne à la discussion est souvent la fonctionnalité choisie, mais des solutions comme celle de la startup française Olvid vont plus loin en faisant le pari d’une authentification sans tiers de confiance basée sur la cryptographie.

Dans un contexte professionnel, mis à part le risque de perte de confidentialité des échanges, il faut également considérer le risque d’indisponibilité de l’application. On peut estimer au premier abord qu’une application grand public telle que WhatsApp, qui possède plus d’1 milliard d’utilisateurs, a un risque d’indisponibilité assez faible. Mais dans le cas d’un besoin fort en disponibilité, l’absence de garantie de services de la part de ces applications pourrait rendre ce risque inacceptable. Il conviendrait alors de se tourner vers une solution professionnelle, plus à même de proposer des garanties de services (SLA) – telle que Threema ou Wire par exemple.

La sécurité de l’application ne suffit pas : d’autres vecteurs d’attaque sont à neutraliser

Nous avons jusqu’ici principalement considéré la sécurité de la communication portée par l’application. Il y a cependant d’autres sources de menace à ne pas oublier, en considérant l’ensemble de la chaîne :

Illustration du fonctionnement d’une application de messagerie instantanée

Il faut notamment garder à l’esprit que les données des conversations sont stockées en local sur les appareils utilisés, qu’il s’agisse de smartphones ou d‘ordinateurs. Un appareil mal protégé permettra donc à un attaquant d’avoir accès à toutes les conversations stockées par l’application sur l’appareil. Pour arriver à ses fins, l’attaquant pourra agir à distance à travers un malware installé sur l’appareil, ou plus directement en le volant.

Par ailleurs, les applications proposent souvent de sauvegarder les données des conversations dans un Cloud (par exemple iCloud ou Google Drive). L’activation de cette sauvegarde implique donc qu’une copie des données est stockée auprès du fournisseur Cloud, ce qui représente un vecteur d’attaque supplémentaire.

Choisir son application de messagerie sécurisée, tout en restant vigilant

Pour choisir parmi les nombreuses applications de messagerie instantanée, il faut donc prendre en compte ses besoins et cas d’usages en même temps que les fonctionnalités proposées. Le chiffrement de bout en bout semble à présent être une garantie incontournable pour une confidentialité correcte. Certaines applications présentent par ailleurs d’autres fonctionnalités permettant d’atteindre un niveau de sécurité supérieur : collecte minimaliste d’informations, confirmation supplémentaire du chiffrement de bout en bout, messages éphémères, etc.

Face au défi d’allier sécurité et simplicité d’utilisation, de nombreuses startups ont vu le jour, avec de nouvelles offres tournées vers les entreprises et organisations. Ainsi, certaines comme Citadel mettent en avant leur ancrage français pour éviter l’ingérence de gouvernements étrangers, tandis que d’autres comme Shadline proposent de répondre à des besoins plus spécifiques tels que la résilience face aux attaques.

Néanmoins, malgré toutes les fonctionnalités de sécurité que peuvent proposer les applications, il suffit d’une seule faille dans le code source pour remettre en question la sécurité de l’appareil : nous l’avons récemment constaté avec la vulnérabilité qui a touché WhatsApp. Il ne faut donc pas baisser sa garde, et veiller à respecter les mesures de sécurité les plus basiques – installer les mises à jour des systèmes et applications lorsqu’elles sont disponibles, sécuriser son appareil (chiffrement du disque, authentification), utiliser un mot de passe robuste, changer de mot de passe régulièrement, etc. – afin de protéger a minima l’appareil utilisé pour communiquer !

Cet article Des applications de messagerie instantanée vraiment sécurisées ? est apparu en premier sur RiskInsight.