Fin juin 2017, une image avait marqué les esprits du monde de la cyber sécurité et de la continuité d’activité. Un open-space, rempli de postes de travail, tous affichant le même écran : le message de demande de rançon de NotPetya. Encore aujourd’hui, 90% des crises gérées par le CERT Wavestone sont causées par des rançongiciels [1]. Comment faire alors pour commencer les investigations, la reconstruction ou permettre au métier de continuer de travailler si aucun poste de travail ne fonctionne ? Quelle stratégie développer pour intégrer la composante poste de travail aux plans de continuité, qui l’adressaient majoritairement jusqu’alors sous l’angle du sinistre bâtimentaire ? 

Définir les besoins 

Pour commencer, il est important de définir le scénario cyber duquel on veut se protéger. Est-ce un scénario « Total blackout » où l’ensemble du SI est indisponible ? Ou un scénario ransomware Windows basique où une partie des serveurs Windows ainsi que les postes sont compromis, mais les équipements réseaux et les briques Linux fonctionnent toujours ?  

Ensuite et sur base des scénarios retenus, il est nécessaire de segmenter les populations en fonction de leur besoin : il n’est pas possible de fournir un nombre infini de postes en une période donnée, et il faut savoir à qui attribuer les premiers postes qui seront mis à disposition. Par exemple, on peut distinguer les équipes métier vitales de l’entreprise, dont l’activité ne peut être interrompue plus de 4 heures, et les activités métier moins critiques, pour lesquels l’activité peut être interrompu pendant 3 jours avec des impacts acceptables pour l’entreprise en mode de crise. De la même manière, les équipes IT et Cyber à mobiliser dans les toutes premières heures de la crise pour conduire les investigations et lancer la reconstruction doivent être identifiés.  

Autre point à prendre en compte, les fonctionnalités métier minimales pour que le poste reconstruit soit utile. Certaines populations métier utilisent des clients lourds sur leurs postes, dont l’installation et la maintenance se révèle complexe. De même, certains métiers ont besoin d’interagir avec des tiers pour leurs activités vitales, via des VPN dédiés ou un whitelist IP. Cadrer précisément combien de personnes ont ces besoins et à quelle échéance est donc essentiel pour définir les solutions techniques envisageables.  

On ne proposera aussi pas forcément la même solution aux équipes IT d’investigation et de reconstruction – qui ont besoin d’avoir accès au réseau interne – qu’aux équipes métier qui peuvent pour les quelques premiers jours de crise avoir des modes dégradés hors du système d’information (SI) de l’entreprise. 

Au final, on aura tendance à distinguer deux phases bien différenciées dans la stratégie de fourniture de poste de travail en cas de crise ransomware : 

• Une première phase lors des tous premiers jours de crise pour une population limitée, qui s’appuiera en général sur des solutions ayant le moins d’adhérence possible avec le Système d’Information nominal, afin d’assurer les activités métier critiques ; 
• Une seconde phase lorsque les investigations auront avancé, avec une reconstruction de poste massive en utilisant le master de l’entreprise, qui aura pu être durci au préalable en tirant les leçons des investigations passées.  

Adapter la solution à son contexte  

Plusieurs paramètres sont à prendre en considération lorsqu’on planifie sa stratégie de reconstruction de postes. En effet, une solution pourrait fonctionner pour une entreprise, mais être inadaptée pour une autre.  

Par exemple, de nombreuses mesures de sécurité et de contrôle d’accès ont été mis en place ces dernières années concernant l’accès au réseau interne des postes de travail. Le NAC (Network Access Control) est de plus en plus répandu et dans les bâtiments récents, les prises Ethernet accessibles à chaque bureau tendent à disparaître. Les accès Office 365 sont restreints via du conditional access et l’authentification aux passerelles VPN (Virtual Private Network) se fait par certificat sur le poste. Lorsque toutes ces contraintes existent, une stratégie pour les premiers jours de crise basée sur le BYOD (Bring Your Own Device) ne peut être la réponse – en tout cas pas seule.  

Également, la façon dont sont gérés les postes est déterminante et ne permet pas forcément d’envisager les mêmes solutions techniques de reconstruction. On retrouve en général deux principales approches :  

• D’une part une approche dite « historique » avec des solutions de gestion de flotte s’appuyant sur une architecture classique type Microsoft System Center Configuration Manager (SCCM), qui est aujourd’hui la solution la plus répandue.  

• D’autre part une approche plus « moderne » (i.e Modern Management) avec des solutions Cloud de gestion de flotte type Microsoft Intune, qui monte en puissance ces dernières années. 

La méthodologie de reconstruction est également à anticiper. Deux méthodes sont envisageables : la restauration et la réinstallation. La restauration représente un retour à un état antérieur de l’environnement (OS et/ou applications et/ou données) grâce à une sauvegarde. La réinstallation, signifie comme son nom l’indique qu’on reconstruit de zéro le poste, en perdant les documents locaux.  

Dans le cas des postes de travail, le nombre de documents conservés en local tend à diminuer. En effet, la plupart des documents sont à présent stockés dans des serveurs de fichiers (NAS ou Sharepoint) pour le travail en commun, ou au sein du OneDrive personnel de l’utilisateur. Ainsi, on aura tendance à privilégier la réinstallation de zéro des postes, plutôt que de prendre le risque de restaurer le système à un état antérieur, où le ransomware était peut-être déjà présent mais non encore activé. D’autant que les ransomware récents s’attaquent aux points de restauration locaux [2].   

Choisir les méthodes de reconstruction les plus adaptées à sa stratégie 

Plusieurs méthodes de mise à disposition de poste de travail peuvent être envisagées en fonction de l’état des lieux et de la formalisation des besoins dont nous avons parlé plus haut. Voici une liste des principales solutions que nous avons rencontrées sur le terrain, et notre avis sur les avantages et inconvénients de chaque solution.  

• La constitution d’un stock de PC de crise 

Méthode souvent appliquée dans les plans de secours classiques (répondant au scénario perte de bâtiment / de site), des PC de crise sont placés dans des caissons type Ergotron, prêt à être utilisés en cas de sinistre. Ils sont connectés au réseau local via l’Ergotron, et reçoivent donc automatiquement les mises à jour. Une stratégie peut également être de se baser sur le stock de roulement des postes dans les services IT, ou de conserver des postes décommissionnés pour constituer un stock de secours. 

Notre avis : Si cette approche répond bien aux scénarios de résilience type perte d’un bâtiment / d’un site, elle présente un risque face au ransomware car ces PC seraient compromis au même titre que les autres puisqu’accessibles et visibles sur le réseau local. Il faudrait alors avoir une gestion de ces postes « hors ligne », nécessitant une charge de MCO (Maintien en condition opérationnelle) plus forte puisqu’il faudrait manuellement allumer les PC et les mettre à jour régulièrement. De plus, avoir du matériel dormant non utilisé pose la question de l’optimisation des ressources et de l’empreinte carbone. Cette solution est à considérer pour une population restreinte ayant un temps d’interruption acceptable très faible. Par ailleurs, pour les populations utilisant des clients lourds, il est possible de gagner du temps en les préinstallant sur ces postes dormants.  

• L’utilisation de PC non managés, via le BYOD (Bring Your Own Device) ou l’utilisation de « PC grand public » acheté en cas de crise 

Cette stratégie est en général associée à un scénario « Total IT Blackout » où l’on considère que l’ensemble du système d’information est compromis et qu’il faut travailler sans lien avec celui-ci. On utilise alors des postes non managés soit personnels soit mobilisables en cas de crise via un contrat avec un fournisseur.    

Notre avis : les fonctionnalités de cette solution sont limitées car le poste n’a pas d’accès au VPN de l’entreprise, et si du NAC est déployé, en se rendant sur site le PC n’aura pas non plus accès aux ressources internes encore fonctionnelles. Elle peut cependant être considérée en la couplant avec des mesures de crises qui auront été prévues en amont et permettront d’améliorer les fonctionnalités du poste (coupure d’urgence du NAC ; modification temporaire du Conditional Access O365 avec ouverture sur internet ; stockage de données critiques métier dans un Vault de crise hors du SI pour continuer de travailler). Dans la plupart des cas, cette solution sera surtout réservée aux populations métier, et éventuellement aux populations IT en charge de la reconstruction – en la couplant avec une stratégie de retour sur site et une levée du NAC, permettant l’accès au réseau interne en physique. Cela reste une solution qui peut être très efficace lorsque bien anticipée avec la combinant avec les mesures de crise citées plus haut.  

• L’existence nominale de postes sous un autre OS 

En cas d’attaque visant les environnements Windows spécifiquement (les plus couramment rencontrés sur le terrain), les ordinateurs impactés peuvent être remplacés par la solution fonctionnant sur un autre OS.  

Notre avis : cette solution implique un MCO (Maintien en Conditions Opérationnelles) d’au moins deux technologies, et elle ne garantit pas que les utilisateurs travaillants habituellement sous Windows pourront travailler sous Linux ou MacOS (clients lourds non compatibles, etc.). Cependant, c’est une solution tout à fait envisageable pour des populations très précises, comme les équipes d’investigation. Ces équipes préfèrent en général utiliser des distributions spécifiques comme Kali Linux, et ce sont les personnes qui doivent avoir accès au SI dans les premières heures de la crise. 

• La remasterisation des postes de travail sur banc  

En cas de crise, les équipes se rendent dans les différents sites possédant des bancs de masterisation avec leur PC compromis pour être remasterisé. Même dans les entreprises les plus conséquentes, les bancs de remasterisation de run ont une capacité de reconstruction limitée (quelques centaines de postes/jour maximum par site). Pour augmenter cette capacité, des bancs de remasterisation supplémentaires de crise peuvent également être prévus dans le cadre d’un contrat avec un fournisseur externe.  

Notre avis : la méthode de remasterisation en mode nominal sur banc demande une bonne préparation en amont pour être efficace en cas de crise au vu du volume de poste à reconstruire. Il convient d’avoir préparé un plan pour organiser le retour sur site de nombreuses personnes en parallèle (répartition par site, communication aux utilisateurs sur les créneaux de passage, etc.) en fonction de la capacité de remasterisation des bancs par site physique.  

• La remasterisation des postes de travail via clés USB  

En cas de crise, des clés USB préparée en amont (ou à générer pendant la crise avec une procédure prédéfinie) avec une image de Windows sont utilisées pour réinstaller un OS neuf sur la machine. Cela peut être un OS Windows vierge, ou une image propre à l’entreprise.  

Notre avis : méthode éprouvée sur le terrain en cas de crise qui peut permettre de gagner beaucoup de temps si elle est anticipée. Il faut disposer d’un nombre suffisant de clés USB, avec une image de Windows récente, et une méthode pour cloner rapidement les clés. Il convient également de définir un moyen de distribuer ces clés aux utilisateurs (soit en amont de la crise mais cela complexifie la mise à jour des clés et il existe risque de perte des clés – ou alors pendant la crise en se rendant en kiosque IT, comme pour les bancs). Aussi, il est nécessaire de pouvoir booter sur un média externe. Si cette fonctionnalité est bloquée dans le BIOS, cette méthode ne peut fonctionner, ou en tout cas pas sans une procédure de levée de cette restriction. Cette méthode peut se combiner avec les bancs pour maximiser le nombre de poste à remasteriser en parallèle sur site (une partie des PC passent sur les bancs, l’autre partie lancent le process via clé USB). De même, en cas de compromission du bootstrap du poste, une clef USB avec un Windows vierge peut se combiner avec une remasterisation Intune dans un second temps.  

• L’utilisation de VDI de crise (Virtual Desktop Infrastructure)  

Des utilisateurs se connectent à un bureau virtuel à distance, via un navigateur. Cette solution doit nécessairement se combiner avec une autre (BYOD, PC grand public acheté pour l’occasion, ou autre) car il est nécessaire d’avoir un PC pour se connecter à la VDI distante. Les VDI peuvent présenter des fonctionnalités plus ou moins avancées en fonction de leur lien avec le SI de l’entreprise (accès au réseau interne, pré-installation de client lourd, etc.) 

Notre avis : Ce système permet d’avoir des environnements de travail rapidement opérationnels, en limitant le risque de fuite de données puisqu’il est possible d’interdire le copier/coller des VDI vers le poste hôte. Par ailleurs, en s’appuyant sur des VDI dans le Cloud, il est possible d’avoir un fort potentiel de scale-up (passer de 1 VDI à 200 VDI actives très rapidement en cas de crise). Le principal risque reste que plus l’infrastructure VDI est corrélée au SI de l’entreprise, plus la probabilité qu’elle soit elle aussi compromise par l’attaque est grande. Et dans ce cas, se reposer uniquement sur cette solution est un pari risqué. A l’inverse, une VDI complètement décorrélée du SI fonctionnera, mais présentera des fonctionnalités limitées sans aucun accès aux briques non compromises du SI de l’entreprise.  

• La re-masterisation depuis le Cloud via Intune 

Le master déployé sur les postes de travail est externalisé dans Intune, un service SaaS hébergé dans le cloud Microsoft. Au démarrage ou après un reset d’usine, le poste de travail demande à l’utilisateur de renseigner son email Microsoft et identifie ainsi son appartenance à l’entreprise, ce qui déclenche le téléchargement et l’installation automatique du master, sans autre intervention nécessaire. Avec un prérequis de taille, puisqu’il faut que sa flotte soit gérée nativement via Intune pour pouvoir utiliser ces méthodes.  

Notre avis :  Cette méthode est parmi les plus efficaces, notamment car il est possible de modifier l’image (en cas de compromission passant par un protocole vulnérable / un défaut de patching), puis lancer à distance et depuis Intune une remasterisation massive des postes de travail compromis. Il est également possible de réaliser cette remasterisation en self-service du côté de l’utilisateur, mais un prérequis existera alors : posséder la clé de récupération BitLocker (ou autre technologie de chiffrement le cas échéant) du poste, si le disque dur du poste est chiffré dans le cadre des mesures de protection du poste déployé par l’entreprise. Pour des raisons de praticité le jour de la crise, la remasterisation de masse lancée depuis la console Intune est donc à privilégier, ce qui permet de s’affranchir de la contrainte BitLocker. Encore faut-il garantir l’accès à Intune par les administrateurs pour pouvoir le faire – et considérer qu’Intune lui-même ne serait pas compromis. Enfin, même si cela est peu commun, si le ransomware détruit le bootstrap du poste, il ne sera pas possible de le remasteriser avec Intune seul et il faudra alors ajouter l’installation d’un Windows vierge sur le poste en prérequis (via une clef USB par exemple).  

A noter qu’il existe également quelques cas exceptionnels de crise dans lesquels, du fait de moyens d’intervention et de gestion limités, certaines organisations peuvent choisir d’autoriser les collaborateurs à travailler en mode dégradé sur des machines compromises pendant une durée déterminée si elles sont encore opérationnelles. Cela peut être notamment le cas lorsque seuls les fichiers bureautiques ont été chiffrés, que le malware est passif et ne communique pas avec un Command and Control, et en supprimant l’accès à internet des postes pour éviter toute prise de contrôle à distance.  

En synthèse, quels facteurs de réussite pour une stratégie de résilience de l’environnement bureautique ? 

Il n’existe pas de solution « magique » adaptée à tous les cas de figure, chaque solution répond bien au besoin de retrouver un poste de travail opérationnel mais le choix de la meilleure solution dépend de plusieurs paramètres propres à chaque organisation. Aussi afin de s’assurer une stratégie efficace, il est important de :  

• Segmenter les différentes populations de l’entreprise afin de définir la priorisation de mise à disposition des postes, et de proposer des solutions adaptées aux besoins spécifiques de chacune.  
• Diversifier et adapter les solutions retenues. Tout miser sur une solution peut s’avérer dangereux si celle-ci venait à se révéler défaillante. Le but est bien d’avoir une boîte à outil de solutions techniques, que la cellule de crise pourra choisir d’activer ou non en fonction de la nature exacte de la crise rencontrée.  
• Tester les solutions : quelles que soient les solutions et les stratégies mises en œuvre pour la reconstruction de postes, elles doivent systématiquement s’accompagner de la planification de tests. Une solution qui n’est pas utilisée régulièrement est une solution qui risque de ne pas fonctionner en cas de crise. Il faut donc lorsque cela est possible utiliser la solution de secours en day to day pour remasteriser des PC, ou si on parle de VDI, que ces VDI soient utilisées régulièrement. Si cela n’est pas possible, il faut intégrer la solution dans un plan de test de continuité métier et/ou IT, afin de la tester en condition réelle a minima une fois par an.   

Les solutions les plus utilisées sur le terrain comprennent les remasterisation de masse sur banc, la constitution d’un stock de poste de travail de crise, l’utilisation des solutions Cloud type Intune et de bureau virtuel type VDI couplé au BYOD. Mais ces solutions prises une à une ne peuvent suffire, car comme indiqué sur le principe de diversification, mettre tous ses œufs dans le même panier peut poser problème. On pourrait par exemple imaginer une crise où l’accès à la console Intune est impossible et/ou l’image Intune elle-même a été altérée par l’attaque. Dans ce cas, avoir une solution de repli type VDI externe ou remasterisation par clef USB est indispensable.  

[1] https://fr.wavestone.com/fr/insight/cyberattaques-en-france-le-ransomware-menace-numero-1/  

[2] https://attack.mitre.org/techniques/T1490/  

Cet article Cyber Résilience : comment anticiper la reconstruction de l’environnement bureautique est apparu en premier sur RiskInsight.

Le 17 avril dernier, l’ANSSI a publié des premiers documents doctrinaux concernant la remédiation, qui est définie comme le projet de reprise de contrôle d’un système d’information compromis. Ces documents sont le fruit de l’expérience de l’Agence dans l’accompagnement de victimes d’incidents de sécurité. 

Ce corpus est constitué d’un volet stratégique, d’un volet organisationnel et d’un volet technique. Le volet technique, qui traite à ce stade la remédiation du tier 0 de l’Active Directory1, ou encore cœur de confiance, est appelé à s’enrichir d’autres documents à venir. 

La démarche proposée par l’ANSSI (E3R) s’articule en 3 étapes : 

1. Endiguement de l’attaquant 
2. Eviction de l’intrus du cœur du SI 
3. Eradication des emprises de l’adversaire 

La déclinaison de ces étapes est illustrée à travers 3 scénarios types de la remédiation, de niveaux d’ambition croissants, à arbitrer en fonction de l’urgence du redémarrage et des coûts induits par les dommages à long terme liés à l’attaque : 

1. Restaurer au plus vite les services vitaux
2. Reprendre le contrôle du SI 
3. Saisir l’opportunité pour préparer une maîtrise durable du SI 

La publication de ce corpus s’inscrit opportunément dans les réflexions et projets menés actuellement par de nombreux acteurs publics ou privés, afin de renforcer leur résilience face une cyberattaque réussie qui compromettrait, voire détruirait massivement leur Système d’Information. 

Sur le terrain, le chemin restant à parcourir avant de disposer d’un dispositif de remédiation suffisamment éprouvé, s’évalue plutôt en années qu’en mois pour la plupart des acteurs. 

Ce délai peut s’avérer en décalage avec l’évolution de la menace et avec les échéances règlementaires applicables à certains d’entre eux. 

Plusieurs raisons, variables selon les acteurs, peuvent expliquer ce constat. On peut néanmoins en relever trois : 

1. La prise de conscience du risque cyber, même si elle progresse, reste encore insuffisante chez plusieurs décideurs. Entre adresser les priorités du moment et se préparer au long cours à une hypothétique compromission, le choix d’assigner des précieuses ressources humaines et financières est parfois arbitré. 
2. L’interruption des activités d’une organisation à la suite d’un sinistre informatique a été traitée historiquement via des Plans de Reprise d’Activité / Disaster Recovery Plan. Leurs atouts et limites pour mener une remédiation restent encore mal identifiés au sein des organisations : 
   1. Ils peuvent présenter, selon les principes de reprise retenus, des atouts en matière de savoir-faire de séquencement de la reprise du SI (au même titre qu’un arrêt/redémarrage électrique), de capacités de reconstruction unitaires et groupées, de resynchronisation et de réconciliation de données restaurées, … La remédiation pourra alors tirer parti de ces savoir-faire, s’ils ne se sont pas perdus à la suite de l’adoption de nouvelles solutions (ex : secours actif/actif) ou lorsqu’une « dette » en matière de maintien en conditions opérationnelles et d’exercices du DRP s’est installée. 
   2. Ces plans ont également des limites importantes. Leur architecture repose sur des interconnexions techniques et des réplications de données avec des infrastructures de secours, via lesquelles la compromission pourra se propager. D’autre part, si leur pertinence est avérée dans un contexte déterministe (à tel sinistre correspond telle solution, tel plan), elle l’est nettement moins en raison des caractéristiques et du champ des possibles d’une cyberattaque évolutive. 

Ainsi est nécessaire une approche hybride mêlant les acteurs de la résilience opérationnelle, ceux du « DRP » et ceux du « cyber ». Celle-ci peut être facilitée ou freinée selon la gouvernance en place entre ces populations. 

Afin d’accélérer la montée en maturité nécessaire des acteurs sur le sujet de la remédiation du SI à la suite d’une cyberattaque, plusieurs pistes peuvent être considérées. Nous en citerons quatre : 

1. Aider les décideurs à prendre conscience de la spécificité du risque cyber ; 
2. Ancrer le « compromise by design » dans le quotidien ; 
3. Avoir plusieurs moyens de remédiation à son arc ; 
4. Partager et capitaliser sur les retours d’expérience. 

Aider les décideurs à prendre conscience de la spécificité du risque cyber 

La grande majorité des acteurs n’écarte pas totalement la possibilité d’être vulnérable à une cyberattaque réussie qui paralyserait leurs activités par la destruction logique de leurs actifs informatiques. 

En revanche, une partie notable des acteurs n’a pas encore appréhendé que ses moyens existants en matière de secours informatique sont rarement adaptés aux spécificités de ce type d’attaque. Une cyberattaque peut en effet remettre en cause la disponibilité et la non-compromission des moyens d’exploitation et d’administration, jusqu’aux postes de travail des acteurs du rétablissement du SI. Le temps nécessaire à la remédiation d’un SI massivement détruit par une attaque cyber est communément d’un ordre bien supérieur à celui partagé avec le métier dans le cas d’un sinistre physique. 

Plusieurs acteurs n’ont pas non plus encore pleinement mesuré l’impact de la menace cyber liée à leur écosystème, par exemple : 

• Si leurs fournisseurs de services informatiques de premier rang (infogérant, fournisseur de service Cloud, …), voire des fournisseurs de rang supérieur, sont eux-mêmes impactés par une attaque destructrice réussie ; 
• Si un acteur subit une cyberattaque, avérée ou non, réussie ou non, ses partenaires en ayant connaissance pourront, à des fins de protection, l’isoler de façon unilatérale. 

La sensibilisation des décideurs d’une organisation au risque cyber, à sa déclinaison systémique et à l’impact sur l’activité, doit être développée. Dans le secteur financier, la règlementation DORA ou ses équivalents dans certains pays extra-européens ainsi que les stress-tests annoncés par la Banque Centrale Européenne pour 2024, devraient y contribuer. 

Pour nombre de décideurs, trop de mots techniques habillent ce risque de cyber destruction. Contrairement à des enjeux de conformité, tels que le RGPD, appréhendables par des non-initiés, ce risque est perçu comme un sujet traité entre techniciens. Néanmoins, le sujet est de plus en plus abordé au niveau des comités exécutifs via, par exemple la présence du RSSI/CISO au COMEX et/ou via des intervenants externes rompus à l’exercice d’acculturation des dirigeants. 

Ancrer le « compromise by design » dans le quotidien 

Prendre en compte, depuis la conception des projets jusqu’aux activités d’exploitation, une possible compromission du Système d’Information conduisant à sa destruction, permet de renforcer significativement les capacités de résilience du SI. 

Dès les premières phases projet, les métiers peuvent être sollicités pour identifier et évaluer, avec le support des équipes techniques, des solutions par conception cyber-résilientes. Il peut s’agir entre autres : 

• De faire appel à des fournisseurs de solutions nominales indépendantes techniquement du SI de l’organisation, afin de ne pas faire reposer ses activités exclusivement sur son seul SI ; 
• D’héberger et d’opérer/faire opérer des solutions de secours en dehors du SI de l’organisation ; 
• De recourir à des modèles d’architecture cyber-résilientes sur catalogue « on-premise » ou hébergées dans le Cloud. Ils sont également conçus pour permettre d’éprouver leur résilience tout en limitant l’impact des tests sur la production ; 
• De concevoir des projets permettant un fonctionnement en mode dégradé via : 
  • L’extraction périodique de données métiers au format bureautique, externalisée et protégée dans un service externe de stockage de fichiers ; 
  • La capacité d’applications (et de services tels que la restauration) à fonctionner sans certains services transverses tels que les référentiels d’authentification de l’AD via des comptes locaux de secours, … ;
• D’élaborer des procédures dégradées métiers s’appuyant sur les moyens SI dégradés tels que ceux définis précédemment. 

En outre, l’opportunité de certaines pratiques, bien qu’antinomiques avec des objectifs d’homogénéisation et d’industrialisation, peut être considérée en phase de conception technique, notamment : 

• Favoriser la diversité des technologies de façon à limiter l’exploitation d’une vulnérabilité ; 
• Limiter la dépendance des applications avec le SI transverse afin de les reconstruire et de les rendre opérationnelles plus rapidement. 

En phase de recette, le fonctionnement métier en mode dégradé et la capacité à reconstruire une application peuvent être éprouvés de façon systématique avant mise en production. Ce test peut être revu si besoin à chaque évolution majeure. Il doit être réitéré périodiquement à travers des exercices qui permettront d’éprouver les capacités de remédiation et de faire monter en compétence les différents acteurs opérationnels. 

Au-delà de la phase projet, plus des pratiques de reconstruction des actifs pourront être intégrées dans le quotidien (« Business As Usual »), mieux elles seront maîtrisées et par davantage d’acteurs en cas de remédiation, par exemple : 

• Reconstruction, une ou deux fois par an, à partir de moyens hors SI (ex : services Cloud ou moyens hors ligne), des postes de travail utilisés pour les tâches d’administration et/ou d’activités critiques ; 
• Reconstruction, une fois par an, d’infrastructures essentielles au rétablissement du SI (ex : infrastructures de restauration, cœur de confiance, socle de virtualisation, …), à déterminer sur la base de l’analyse de la menace et des risques ; 
• Développement de pratiques CI/CD au quotidien, notamment dans les environnements Cloud, afin d’automatiser la recréation des serveurs pour leur appliquer des changements, tels qu’une montée de version ou des correctifs. 

Enfin, maintenir au quotidien la cartographie du SI (y compris ses interconnexions avec les partenaires et Internet) et ses interdépendances à jour est un facteur clef de la remédiation, qu’il faut soutenir via des processus, un outillage (cyber-résilient) et des contrôles adaptés. 

Avoir plusieurs moyens de remédiation à son arc 

Face à la difficulté de prévoir à l’avance le déroulement d’une cyberattaque et l’évolution de ses impacts, la préparation d’un plan nécessite de trouver le juste milieu entre deux excès : 

• Élaborer des solutions de reconstruction adaptées à nombre trop restreint de scénarios d’attaque, avec le risque inhérent aux impasses,
• Ou, au contraire, chercher à couvrir l’exhaustivité des scénarios possibles, au prix d’une perte notable d’efficience. 

Une analyse de risque réactualisée des scénarios possibles d’attaque, s’appuyant notamment sur une veille de la menace, permet de prioriser ceux à couvrir, tels que ceux qui présentent la plus forte vraisemblance de réussite et l’impact le plus important dans le contexte de l’organisation.  

Cette analyse facilite l’identification des hypothèses qui vont servir d’entrants à l’élaboration des plans. Par exemple : 

• Prévoir la reconstruction industrialisée de la couche de virtualisation de serveurs physiques n’apparaissait pas comme une nécessité pour la grande majorité des acteurs il y a encore un an ; elle est désormais identifiée comme essentielle. 
• La destruction des ressources Cloud via la compromission de l’accès au tenant (comptes maître ou accès API) voire la compromission du fournisseur Cloud lui-même, apparaît pour plusieurs acteurs comme un nouveau risque à prendre en compte dans leur stratégie de résilience Cloud. 

Une fois des hypothèses de travail choisies ou écartées (ex : tels types de composants et de technologies impactés, telles capacités résiduelles des codes malicieux une fois ses moyens d’interagir avec l’attaquant coupés, …), il est possible d’évaluer la pertinence des différents moyens possibles de reconstruction et de mieux prioriser les travaux : 

• Restauration de systèmes et/ou de données métiers à partir de sauvegardes, le cas échéant dans un environnement isolé (ex : à partir de « snapshots », de sauvegardes hors ligne ou « immuables ») ; 
• « Nettoyage » des environnements restaurés et potentiellement déjà compromis lors de leur sauvegarde (ex : via un antivirus pour les fichiers bureautiques et systèmes potentiellement compromis, via un EDR sur des systèmes relancés dans un environnement isolé ou via des solutions pouvant nettoyer directement l’image sauvegardée d’un serveur virtuel) ; 
• Réinstallation de couches techniques compromises (ex : OS, middleware …) ; 
• Réapprovisionnement des infrastructures virtuelles (ex : Terraform, …) ; 
• Stratégies et solutions pouvant couvrir à la fois le risque de sinistre classique et le sinistre cyber (ex : SI de secours indépendant du SI nominal, dont les données métiers sont rafraîchies par un dispositif maintenant l’étanchéité technique). 

Cette évaluation doit pouvoir conduire à l’élaboration d’un « catalogue » de moyens de remédiation., dont l’application doit être contextualisée au moment du traitement de l’attaque. En complément de chaque solution de reconstruction au catalogue, l’identification d’une solution alternative – peut-être moins industrialisée – permettra de mieux faire face à l’aléa du contexte de l’attaque. 

Partager et capitaliser sur les retours d’expérience 

Afin de gagner plus rapidement en maturité et en efficience dans le domaine de la remédiation, les acteurs du marché gagnent à capitaliser sur l’expérience des autres. 

Il peut s’agir de capitaliser via : 

• Des études, telle que le corpus doctrinal publié par l’ANSSI ; 
• Des échanges directs avec ses pairs ou par l’intermédiaire d’acteurs tiers ; 
• Des groupes de travail où son écosystème de partenaires sera si possible représenté. 

Les retours d’expérience à rechercher peuvent porter sur la spécificité du contexte cyber dans la remédiation mais également sur des aspects plus classiques liés à la reconstruction d’un SI tels que : 

• Les méthodes et démarches mises en œuvre ; 
• Les solutions du marché éprouvées (au-delà des promesses) ;  
• Les performances atteintes (délais de reconstruction) ;  
• Les coûts ;  
• Les aspects logistiques et RH (proches de la gestion de crise) ;  
• Les aspects plus fonctionnels tels que la réconciliation de données, faisant suite à des points de restauration différents et à des flux perdus avec des tiers. 

Autres articles sur le sujet de la remédiation : 

Survivre à une compromission d’Active Directory : les principaux enseignements pour améliorer le processus de reconstruction 

Cyber-attaques : quels risques sur les sauvegardes et comment s’en protéger ? 

Reconstruction d’Active Directory : comment se donner les moyens d’y parvenir ? 

A venir prochainement sur https://www.riskinsight-wavestone.com/ : la remédiation des postes de travail 

Cet article « Compromise by design » ou comment anticiper une cyberattaque destructrice est apparu en premier sur RiskInsight.

Pour ma part, je pense avoir participé à une bonne dizaine de simulations au cours de l’année dernière… mais attention : on ne parle pas toujours de la même chose ! Du simple test de processus sur table à l’entraînement du SOC/CERT jusqu’à l’exercice d’ampleur impliquant des dizaines de cellules de crise et des mois de préparation, les moyens alloués sont très disparates.

Cet article se focalise sur cette dernière catégorie : les exercices les plus ambitieux, les blockbusters du genre, l’Armageddon de la fausse attaque Cyber !  Regardons de plus près comment réussir un tel exercice… et le rendre fun et mémorable !

C’est quoi un exercice de crise type ?

S’il fallait donner quelques chiffres sur les plus grands exercices « type » organisés en France, je dirais : une journée d’exercice, 150 joueurs mobilisés, 10-12 cellules de crise sur plusieurs pays, 30 complices, 20 observateurs… et plus de 300 stimuli envoyés ! Clairement, réussir un tel événement nécessite à la fois un grand niveau de préparation et une équipe d’animation très solide le jour J pour la mise en scène finale.

Un enjeu clé : il n’y aura qu’une seule prise ! Il devient ainsi indispensable que TOUS les acteurs se prennent au jeu, que personne ne s’ennuie ou n’ait le sentiment d’être inutile, et enfin que le scénario embarque tous les participants. Imaginez la scène : personne n’a envie de mobiliser plusieurs heures des membres du COMEX pour entendre des « pas très crédible » ou « ça ne pourrait pas nous arriver dans la vraie vie » pendant le débriefing. Des mois de travail gâchés ! Préparation et animation sont donc les maîtres-mots d’un exercice.

Six mois pour se préparer

1/ Choisir le scénario d’attaque

Les premiers mois de travail sont toujours consacrés au scénario d’attaque. Ransomware, fraude ciblée, attaque de fournisseurs… le choix des armes est vaste ! Sur des exercices ambitieux, il n’est d’ailleurs pas rare de cumuler plusieurs attaques sur une seule et même crise : écran de fumée lancé par les attaquants, identification d’un second groupe pendant les investigations… on peut être créatif ! Quel que soit le scénario choisi, la clé est d’être le plus précis possible :

• Quelles sont les motivations des attaquants ?
• Quel chemin d’attaque ont-ils emprunté ?
• Quand a eu lieu la première intrusion ?

L’exercice sera long… et il vaut mieux être préparé lorsque 150 joueurs se mettent à investiguer sur une attaque pendant plusieurs heures ! Spear-phishing, waterholing, compromission de code, élévation de privilèges… bien sûr les vulnérabilités utilisées par l’attaquant fictif ne sont pas réelles, mais elles doivent être plausibles et « validées » par des complices techniques tout au long de la préparation. De même pour les impacts métier, ils convient de les revoir avec les spécialistes métier : montant de fraude à partir duquel la situation devient critique, activités critiques à cibler en priorité, clients les plus sensibles… Le choix et l’implication des complices sont essentiels, et je vous recommande vivement de les intégrer le jour J dans la cellule d’animation. Ils peuvent vous être d’une aide précieuse, et cela leur fera plaisir !

2/ Construire le script de l’exercice

Place ensuite à la construction du script, qui consiste à définir minute par minute les informations qui seront communiquées aux joueurs. Le calibrage du rythme de l’exercice est un point complexe : doit-on envoyer un nouveau stimuli toutes les 2 minutes ? Toutes les 10 minutes ? La tentation de vouloir imposer un rythme infernal est grande pour « maîtriser » le scénario mais attention à laisser suffisamment d’espace de réflexion aux cellules. Si le scénario est bien construit, il n’y aura pas de place pour l’ennui… il ne faut jamais sous-estimer la capacité des joueurs à se créer leurs propres problèmes pendant l’exercice !

Le démarrage de l’exercice est un autre point complexe : doit-on débuter directement sur une situation de crise (par exemple, activation d’un Ransomware) ou sur une simple alerte qui permettra de tester le processus de mobilisation générale ? Sur le terrain, c’est presque toujours cette deuxième option qui est choisie. Elle permet de mobiliser les équipes techniques (CERT, SOC, IT…) sur toute la durée de l’exercice, dès l’alerte, et d’inclure les cellules décisionnelles plutôt en seconde partie d’exercice. Essayez de réserver l’agenda des membres du COMEX une journée entière… vous comprendrez rapidement que c’est la meilleure solution !

3/ Préparer les stimuli

L’attaque est maintenant scénarisée, le script est prêt… il ne reste plus qu’à produire ces fameux stimuli qui seront envoyés aux joueurs tout au long de l’exercice. Rapports techniques, faux tweets, messages de clients inquiets… il s’agit d’anticiper et de produire tout ce qui peut être utile pour les joueurs.

Pour captiver, n’hésitez pas à recourir à la vidéo. En effet, rien de plus marquant qu’un faux reportage BFM relayant l’attaque en cours (logo, plateau… plus c’est réel et mieux ce sera). Et pour encore plus de réalisme, pensez à inclure dans les vidéos des personnes « connues » dans l’entreprise (message du PDG, interview d’un patron d’usine…). Idem côté technique : la durée des exercices ne permet souvent pas aux joueurs d’effectuer eux-mêmes les investigations techniques, mais ils vont en demander beaucoup aux animateurs. Rapport d’analyse de malware, extraits de journaux applicatifs, liste d’adresses IP… tout doit être prêt au maximum pour éviter la panique !

Comme indiqué en introduction, les exercices les plus ambitieux peuvent nécessiter la création de 300 stimuli pour tenir la journée et rester crédibles… cela représente beaucoup de travail !

Jour J : tout le monde en scène !

Le jour J : 5h du matin, RDV avec toute l’équipe d’animation et les observateurs pour les derniers réglages et le café. Quelques heures plus tard, les observateurs se dispatchent dans leurs cellules de crise et commencent le briefing des joueurs.

Démarrer sur de bonnes bases

Attention : pour beaucoup de joueurs, cela risque d’être leur premier exercice. Le briefing est essentiel pour éviter par exemple que…

1. Les joueurs appellent la police (la vraie…) en plein milieu de l’exercice
2. Les joueurs contactent une mailing list de 400 personnes sans préciser que c’est un exercice
3. De vrais clients soient appelés pour être rassurés
4. Un site de production soit neutralisé « par prévention »…

Oui, oui… ce sont des histoires vécues ! Pour éviter de telles situations, il est indispensable de marteler les règles du jeu lors du briefing : les joueurs doivent évidemment communiquer entre eux… mais pour contacter les parties prenantes extérieures, ils doivent passer par la cellule d’animation. Les animateurs et complices regroupés dans la cellule se retrouvent ainsi au fil de la journée dans la peau d’un client, d’un expert technique, d’un DG ou d’un régulateur… au gré des sollicitations des joueurs. Plutôt unique comme expérience !

S’appuyer sur une cellule d’animation efficace

La suite des événements dépend de l’efficacité de la cellule d’animation. Un exercice réussi comporte son lot d’improvisation le jour J. Il faut savoir réajuster les stimuli en fonction des réactions des joueurs, réagir en direct lorsqu’ils vous appellent, accélérer ou temporiser le rythme de l’exercice en fonction des informations transmises par les observateurs… bref, la partition n’est jamais figée et la cellule d’animation va être mise à rude épreuve le jour de l’exercice. Responsable des animateurs, PMO, responsable technique, responsable métier, gestion de la cellule appels… les plus grands exercices de crise disposent de cellules d’animation particulièrement professionnalisées. Imaginez : 150 joueurs qui envoient chacun un mail ou une question toutes les 5 minutes… cela représente tout de même une trentaine de réponses par minute…

Pour ma part, je préfère ne prendre aucun risque le jour J et recréer des équipes qui ont l’habitude de fonctionner ensemble et se connaissent par cœur… C’est la meilleure manière de gagner les précieuses secondes qui éviteront à la cellule d’animation de partir elle-même en crise !

Cet article Organiser un exercice de crise cyber dans une grande entreprise est apparu en premier sur RiskInsight.

Tu quoque mi programme

Pour se faire une idée un peu plus détaillée et précise de cette menace, commençons par définir ce qu’est une fileless attack. Également nommée non-malware attack (attaque sans malware), zero-footprint attack (attaque sans empreinte) ou living-off-the-land attack (attaque hors sol), la particularité de ce type de menace est qu’elle n’impose pas à l’attaquant d’installer un programme sur la machine cible pour exécuter des actions malveillantes. En effet, le principe même de l’attaque est de détourner l’usage d’outils ou de programmes parfaitement licites et déjà installés sur les équipements informatiques à des fins, elles, illicites. Comment procèdent donc les attaquants pour arriver à leurs fins ?

Dans la majorité des cas, Pour établir cette tête de pont, ils utilisent la plupart du temps des techniques classiques de phishing ou spear-phishing. En effet, il est important de bien garder à l’esprit que la particularité de cette typologie d’attaque consiste dans la non-installation du programme malveillant chez la cible, ce qui ne préjuge pas de l’utilisation de fichiers à d’autres moments (comme lors d’un phishing). Alternativement, des attaques par force brute ou la mise à profit d’exploit permettant l’exécution de code à distance peuvent également permettre d’accéder à la machine cible et de perpétrer des attaques sans fichiers.

Quelle que soit la technique utilisée, l’objectif final est, comme on l’a vu, de détourner l’usage d’un programme légitime. La cible principale de ce « programme-jacking » est PowerShell (Windows Management Instrumentation étant également un bon client). Cet outil système, installé de manière native sur certaines machines tournant avec un système d’exploitation Windows, a la particularité de pouvoir exécuter des tâches instruites depuis la console de commande directement dans la mémoire vive de l’appareil. Dans certains cas, une simple macro bien construite sur un fichier Word malveillant, l’exploitation d’une faille de Flash ou la redirection vers un site malveillant suffit à invoquer PowerShell. Une fois celui-ci ouvert, il se connecte alors à un serveur de command & control et télécharge un script malveillant qui s’exécute donc depuis la mémoire vive et qui peut procéder à toute une variété d’actions, comme par exemple localiser et envoyer des données vers l’attaquant ou miner des crypto-monnaies. Des fileless attacks exploitant les vulnérabilités de Java (Java Process) sont également connues.

 Malware : le grand remplacement

Et il faut croire que cette typologie d’attaque est facile à mettre en œuvre si on jette un œil aux chiffres.  , pour 77% des entreprises reconnaissant avoir subi une attaque ayant réussi à compromettre le système d’information de l’entreprise, la technique utilisée est une fileless attack. Symantec a signalé en juillet dernier qu’entre le premier semestre 2017 et le premier semestre 2018, l’usage malveillant de PowerShell avait augmenté de 661%. Ainsi, Carbon Black a annoncé dans son rapport de menace 2017 que 97% de ses clients avaient subi une tentative de la sorte et que les attaques sans fichier utilisant des failles PowerShell ou WMI ont représenté au global 52% du total des attaques en 2017, dépassant pour la première fois de l’histoire les attaques classiques utilisant des malwares installés en dur sur la machine cible.

La raison principale de l’explosion de cette typologie de menaces trouve son origine dans la façon même qu’ont les organisations de se défendre. d’analyser de manière statique les signatures des fichiers sur le disque afin d’identifier les programmes illicites, et éventuellement de les exécuter dans des bacs à sables. La plupart de ces antivirus utilisent une fonctionnalité de l’OS pour être notifiés des nouvelles écritures sur le disque et ainsi déclencher un scan. Or, pas de fichier, pas de notification, et pas de notification, pas de scan. Les attaquants étant des personnes pragmatiques, ils ont simplement décidé de court-circuiter cette étape et de mettre ainsi en défaut l’ensemble des défenses basées sur ces anti-virus traditionnels fonctionnant par base de signatures, ces derniers devenant de plus en plus performants.

Les pirates de leur côté s’équipent afin de procéder plus facilement aux attaques en systématisant et simplifiant les manipulations à faire pour contourner ces anti-virus. Certains outils d’attaque actuels, comme Metasploit, facilitent les fileless attacks grâce à la construction de charges utiles malveillantes clefs en main à charger directement depuis Powershell.

Comment chasser un malware qui n’existe pas ?

Les méthodes de défense traditionnelles étant peu adaptées, il est nécessaire de repenser son approche. Si certaines menaces peuvent être stoppées simplement en redémarrant la machine (son arrêt stoppant les programmes actifs), les hackers ont trouvé la parade par l’installation d’un script dans le registry de Windows, entraînant la résurgence de la brèche au redémarrage par son exécution automatique avec le reste des scripts systèmes, eux légitimes. Si ce script est suffisamment court, il n’a même pas besoin d’être enregistré dans un fichier. Certaines attaques plus complexes peuvent demander l’enregistrement de leur script dans un fichier, ce qui en fait une catégorie hybride de fileless attack, où si un fichier est effectivement nécessaire, ça n’est toujours pas le malware en lui-même.

Depuis quelques années, le développement des solutions de type Endpoint Detection Response se trouve être au cœur de l’activité des éditeurs antivirus. Ces produits ne se limitent plus à la simple analyse de fichiers mais adoptent des techniques d’étude comportementale. L’idée derrière cette nouvelle façon de procéder est d’identifier les activations de programmes qui, individuellement, seraient légitimes mais dont l’exécution en parallèle ou séquentielle est suspicieuse. Par exemple, la consultation du web, l’utilisation d’une macro Microsoft Word ou l’exécution de PowerShell est légitime. En revanche, leur activation concomitante peut résulter d’un phishing réussi emmenant l’utilisateur sur un site web malveillant, déclenchant l’activation en cascade de PowerShell à travers une faille du premier. La solution antivirale peut donc réaliser qu’il ne s’agit pas d’une situation normale de fonctionnement et procéder aux actions de sécurité nécessaires.

Néanmoins, ces solutions étant basées sur des heuristiques, elles sont par définition faillibles. L’équilibre entre l’exhaustivité des détections et le nombre de faux positifs, entraînant potentiellement des incidents d’exploitation, est difficile à atteindre. Des solutions de plus en plus stables et performantes apparaissent néanmoins progressivement sur le marché, et permettent de lutter contre cette menace grandissante de manière efficace, pour peu que les terminaux utilisateurs en soient équipés.

Cet article Fileless attack : Le retour à la terre est apparu en premier sur RiskInsight.

De ce fait, la surface d’attaque des véhicules s’élargie, ceci les exposant à de nouveaux risques qui peuvent compromettre la sécurité des passagers mais aussi des personnes aux alentours du véhicule qui subirait une cyberattaque. En effet, de nombreux chercheurs ont déjà réussi à faire aboutir différentes attaques sur des véhicules récents du marché et ont même pu en prendre totalement contrôle.

Dans le monde de l’automobile connectée, quels types d’attaques ont pu aboutir à ce jour ? Quels sont les vecteurs de ces attaques ? Et quels sont les motifs de ceux qui les réalisent ?

Un large panel de cyberattaques déjà réalisées sur les voitures connectées et autonomes…

Au cours des dernières années, des vulnérabilités aussi nombreuses que variées ont été découvertes par des chercheurs sur les véhicules connectés. En 2015, deux études particulières ont généré une large couverture médiatique, amenant le sujet de la sécurité des véhicules connecté sous les feux des projecteurs.

La première a été réalisé par les chercheurs Américains Charlie Miller et Chris Valasek, qui ont réussi, à distance, à compromettre la plateforme embarquée du groupe Fiat Chrysler leur permettant de prendre le contrôle de nombreuses fonctions telles que le réglage du volume de la radio et même la possibilité d’actionner les freins. La porte d’entrée de leur attaque était le point d’accès à internet Uconnect  qui est utilisé pour contrôler le système de navigation et de divertissement des voitures. En compromettant l’accès internet, ils ont pu rebondir sur la carte à puce d’un boitier de contrôle du système de divertissement et réécrire le code source en y intégrant leurs fonctions malveillantes sans être détectés. A l’aide de ce composant corrompu, ils ont été capables d’envoyer des commandes via le réseau interne du véhicule (le CAN-bus) à différents éléments physiques tels que le moteur ou les roues. Suite à la présentation de la vulnérabilité et des scenarios d’attaque par les chercheurs, Fiat Chrysler a du patcher 1,4 millions de véhicules en envoyant des clés USB à tous les clients concernés pour qu’ils puissent corriger eux même le défaut de conception de leur véhicule.

© ANDY GREENBERG/WIRED

La seconde a concerné une Tesla Model S. Outre les cyberattaques rendues possible grâce à un accès physique ou une connexion distante, d’autres ont elles visé les capteurs utilisés dans de nombreux véhicules pour détecter d’éventuels obstacle et analyser leur environnement². En effet, en 2016, des chercheurs Chinois ont montré comment attaquer la Tesla Model S via ses différents capteurs : Radars à ondes millimétriques (Radars MMW), cameras LiDAR, , capteurs ultrasons, etc. Ils ont présenté les scenarios d’attaque suivants :

• Brouillage de signal des radars MMW : utilisation d’un transmetteur réglé sur la même fréquence que celle du récepteur du véhicule et avec le même type de modulation permettant de neutraliser tous les signaux envoyés au récepteur. Durant cette attaque (« évaporation d’obstacle »), le véhicule est incapable de détecter les obstacles présents sur sa route et donc de les éviter.

A travers le monde, les équipes de chercheurs ont donc réussi à faire aboutir des cyberattaques variées sur des véhicules modernes de différents constructeurs, qui sont résumées sur la frise chronologique ci-dessous.

Il y a 6 vecteurs d’attaque principaux pour les véhicules connectés et autonomes :

Les véhicules récents peuvent se connecter aux réseaux 3G/4G et fournissent des accès Wi-Fi et Bluetooth aux passagers. Ces technologies sont des standards qui présentent des vulnérabilités : de nombreuses attaques sur ces réseaux de communication sont belles et bien connues. Il est facilement possible d’imaginer un attaquant qui pénètre à distance le réseau local du véhicule, ceci en utilisant ces canaux de communication ou en réalisant une attaque “Man-In-The-Middle”, afin de dérober des données personnelles, altérer des services voire même prendre le contrôle de certaines commandes comme vu précédemment.

De plus, il est possible de se connecter directement au véhicule. En effet, toutes les voitures ont un port ODB utilisé à des fin de diagnostique lors de l’entretien et les plus modernes équipées de systèmes de divertissement dernière génération offrent des ports USB. Ces accès physiques représentent une porte ouverte pour les attaquants leur permettant de mener à bien des actions malveillantes aux conséquences lourdes : Blocage d’une partie ou de l’ensemble des systèmes dû à un ransomware, fausses informations envoyées via le réseau interne, altération de l’unité de commande électronique par un malware, etc.

A l’avènement des véhicules autonomes, de nouvelles techniques d’attaque sont à considérer. La conduite autonome repose sur de nombreux capteurs en interaction continue avec leur environnement, dans le but de collecter les informations relatives à la route, au trafic, etc. Les attaques visant ces capteurs peuvent avoir des impacts dramatiques. En effet, le détournement des fonctions primaires des capteurs ou des infrastructures routières par des personnes malintentionnées, peut mener à des accidents. Par le passé, des accidents mortels ont eu lieu, dus à des défauts d’interprétation des capteurs : dans le cas le plus récent, la caméra de la voiture n’a pas pu détecter un camion blanc, éblouie par le soleil rasant.

Nous le constatons, les voitures deviennent un point de connexion central avec l’internet des objets. Les services fournis par les Smartphones (Apple Car, Android Auto)  et autres appareils, deviendront à leur tour vecteurs d’attaques. Par exemple, une authentification compromise gérée par le Smartphone connecté au véhicule, pourrait donner un accès illimité à des fonctionnalités physiques (déverrouillage des portes, ouverture du coffre, etc.).

En fonction du vecteur utilisé, les attaques peuvent être catégorisées et :

• Peuvent affecter un seul véhicule ou une flotte entière, ce qui en augmenterait l’impact ;
• Peuvent être réalisées à proximité du véhicule mais également à distance, ceci changeant les possibilités des attaquants et contribuant à augmenter la complexité de l’attaque.

Capteurs, IoT, réseaux publics et privés, les véhicules connectés et autonomes sont un concentré de technologies.  Ils constituent donc un large terrain de jeu pour les attaquants déjà aux aguets ! Mais quelles sont les motivations qui les poussent à perpétrer ces attaques ?

Quelles peuvent être les motivations derrière de telles cyberattaques ?

Les motivations sont en effet diverses et variées, nous les représentons ci-dessous suivant 5 catégories :

• Idéologie : De nombreuses organisations militent contre l’industrie automobile, ce qui pourrait les amener à lancer des attaques contre les véhicules connectés et autonomes. Par exemple, une organisation de protection de l’environnement qui détournerait le système de divertissement pour passer des messages militants ou perturber le fonctionnement des véhicules pour les immobiliser.
• Financières : Des hackers peuvent perpétrer des attaques basiques comme voler des données du véhicule dans le but de les revendre ou de les utiliser. Par exemple pour avoir un accès gratuit à un service de streaming de musique en piratant le système de divertissement.
• Déstabilisation : Des attaques peuvent être lancées sur de nombreux véhicules afin de perturber leur fonctionnement ou de les immobiliser. Par exemple, le cas d’un état qui ferait une tentative de déstabilisation d’un ennemi ou un concurrent qui voudrait dégrader l’image d’un constructeur.
• Meurtre : La possibilité de prendre un contrôle total sur un ou plusieurs véhicules pour mettre en danger la vie de personnes en les utilisant comme des armes peut être considérée par des organisations criminelles et terroristes.
• Obtention de moyen d’attaque : Les véhicules vont devenir des systèmes informatiques très sophistiqués avec une très grande puissance de calcul. Si des vulnérabilités sont exploitées, les voitures pourront être utilisées pour espionner les utilisateurs ; leur puissance de calcul peut aussi servir lors d’attaques brut force ou comme botnet lors d’attaques DDOS.

Les véhicules modernes disposent de nombreuses façons de se connecter via des systèmes externes vulnérables : Bluetooth, Wi-Fi, USB, etc. Avec le développement des véhicules autonomes, des plateformes de service et les infrastructures routières connectées, la surface d’attaque des véhicules va considérablement augmenter de la même manière que les impacts associés qui vont devenir très sérieux et dangereux pour les utilisateurs. De ce fait le piratage des véhicules va attirer de plus en plus d’attaquants, se généraliser et se sophistiquer.

Il est devenu urgent d’adopter une approche détaillée pour sécuriser les fonctions vitales du véhicule assurant la sécurité des passagers. Les mesures de sécurité et l’organisation de la cybersécurité déployées s’inspirent du monde de l’IT mais doivent être adaptés au secteur de l’automobile. Dans ce contexte, des start-ups sont en mesure d’apporter des solutions aux challenges techniques et réglementations telle que l’ISO21434, en cours de développement, posant un cadre global pour augmenter le niveau de sécurité des véhicules connectés. Mais concrètement, quelles sont ces solutions et comment protègent-elles les véhicules des cyberattaques ? Patience, nous vous le présenterons très prochainement !

Cet article Saga 2/3 : La voiture connectée, route semée d’embûches (…et de failles de sécurité) est apparu en premier sur RiskInsight.

Face à cela, les outils historiques ne semblent pourtant que trop peu adaptés aux nouvelles menaces, de plus en plus volatiles (40% des attaques ne s’appuient sur aucun fichier déposé sur un poste compromis, d’après une étude de l’institut Ponemon pour Barkly). En conséquence, un nouveau type de solution de sécurité est apparu, mêlant efficacité de détection et remédiation adaptative, les Endpoint Detection & Response (EDR).

AUX ORIGINES : LES ANTIVIRUS

A l’heure du trentième anniversaire de la première annonce de neutralisation d’un virus, les antivirus figurent aujourd’hui parmi les solutions les plus utilisées dans la protection des équipements terminaux que sont les serveurs et les postes de travail. Seulement, de nouvelles stratégies de défense viennent aujourd’hui consolider les fortifications de nos systèmes d’information, afin de faire face à un spectre plus large d’attaques et de menaces.

Une réponse toujours nécessaire face aux attaques connues

Que ce soit pour nettoyer un support de stockage USB ou un serveur critique, les antivirus bénéficient d’une réputation d’outils indispensables grâce à leur stratégie, allant de la détection de fichiers à signatures virales connues à la remédiation, ainsi qu’à leur faible taux de faux-positif.

Aujourd’hui largement employés par l’ensemble des acteurs numériques, certains antivirus efficaces permettent un investissement minime face à des conséquences majeures. Pour exemple, les coûts de l’attaque massive Wannacry sont estimés à près d’un milliard de dollars – mais la somme aurait pu être beaucoup plus élevée. En effet, comme l’a démontré le groupe de recherche MRG Effitas, certains antivirus peuvent bloquer les attaques les plus notables émanant de la faille EternalBlue, par détection de signatures au travers du réseau.

Partant de ce constat, certaines solutions antivirales semblent répondre à la majorité des attentes d’une entreprise « connectée », à savoir détecter les menaces les plus massives. Cependant, la recrudescence des attaques ciblées et sur-mesure laisse envisager une banalisation du contournement de ces défenses traditionnelles. Ces attaques peuvent conduire à une intrusion dans les  systèmes d’information les plus critiques, dans un environnement où le nombre d’infrastructures augmente et devient par conséquent plus complexe à maitriser. De plus, l’efficacité des antivirus reste dépendante de la multiplicité des attaques, et par conséquent d’une récolte efficace et complète des signatures virales.

Des mécanismes insuffisants face à l’évolutivité des cyber attaquants

Deux limites sont aujourd’hui mises en cause pour juger de la légitimité des antivirus à l’avenir. Elles sont majoritairement liées à la collecte et au stockage des bases antivirales perpétuellement alimentées.

1. Le délai de mise à jour des bases virales
   Dans un environnement constamment modelé par les cyber-attaquants, une première limite est la durée de mise à jour des banques de signatures virales. Comme rappelé par F-Secure à Gartner, « il y aura toujours un délai entre l’acquisition d’un échantillon, son analyse, et la création de la détection ». Il en découle un délai conséquent d’alimentation et d’adaptation des bases de signatures, pouvant conduire à la détection d’un virus plusieurs jours après infection.

2. Une détection principalement basée sur la recherche d’attaques connues
   Les attaques de type zero-day se caractérisent par l’absence de publication et de réponse connue à leur encontre, souvent due à leur récente réalisation. Pouvant pourtant partager des comportements avec des attaques connues, elles ne figurent pas dans le périmètre de détection des antivirus. Et bien que des mécanismes IDS (Intrusion Detection System) et de machine learning se soient greffés afin d’élargir les comportements détectés, ceux-ci ne représentent que peu de challenge pour un attaquant et sont potentiellement sources de faux-positifs.

En définitive, aucun attaquant censé ne s’est jamais entendu dire :

“D*mn there is an antivirus… Oh well too bad…”

Mais comment se prémunir face a ces attaques ?

Annoncée en préambule, la technologie EDR fait son apparition en 2013 et fonde sa stratégie sur la prévention d’attaques avancées, via l’utilisation de schémas de compromission connus. Pour cela, la clé de l’efficacité d’un EDR se trouve dans la collecte d’un maximum d’informations en continu.

A travers ses fonctions principales, un outil de Endpoint Detection and Response répond à trois besoins majeurs des équipes de sécurité des entreprises :

1.Détection    2.Investigation   3. Remédiation

Voici ci-dessous une vue globale des fonctionnalités possibles :

• Une détection intelligente en temps-réel :

• Une investigation intuitive et complète :
  • Recherche exhaustive d’indicateurs de compromission (IOC) sur l’ensemble des équipements terminaux distants (hash, nom de fichiers, date de création, taille, autres attributs) ;
  • Timeline (ou Kill-Chain) des évènements déroulés lors d’une attaque. Elle peut contenir des informations relatives aux augmentations de privilèges, aux escalades horizontales (exécution sur des machines tierces), etc.

Le détail d’un fichier peut être représenté comme suit :

• Une remédiation automatique ou sur demande :

Dans l’objectif de prioriser les interventions des équipes de sécurité, des mécanismes de scoring de la criticité des alertes permettent aux opérateurs de hiérarchiser les actions. Et, même si la suppression automatique de processus malveillants permet une première remédiation facile, d’autres remédiations « on-demand » et réalisables à distance sont envisageables :

A noter que les mécanismes présentés ci-dessus ne sont pas forcément présents dans toutes les solutions se présentant comme EDR. La présence d’un antivirus intégré n’est par exemple pas une garantie, tant l’efficacité des autres mécanismes de détection s’accélère et permet des performances de détection équivalentes.

Suivant le niveau de maturité de chaque solution, il est par conséquent nécessaire d’adopter une stratégie réalisée sur-mesure en regard des ressources matérielles/logicielles, des données métier à protéger et des ressources financières mobilisables.

Contextualisation pour une strategie sur-mesure

Une combinaison entre solutions historiques et innovantes

Puisque les EDR permettent la coexistence d’autres solutions de prévention, il n’est pas nécessaire de se séparer de son actuel antivirus afin de compléter ses défenses. Pour autant, l’aspect financier du maintien de deux solutions distinctes sur le même périmètre peut être un handicap.

De plus, certains EDR peuvent aussi intégrer des antivirus raisonnables, qui deviennent d’autant plus efficaces dans l’investigation des évènements lorsqu’ils sont liés à la même console de supervision. A l’inverse, plusieurs acteurs de solutions antivirales essayent de faire migrer leur solution vers les technologies EDR, ceci afin d’alimenter leur offre de protection Endpoint.

En se concentrant sur des scénarios adressables par la technologie EDR, nous pouvons noter la présence de solutions permettant :

1. L’utilisation d’une console d’investigation et de remédiation centralisée et permettant la protection de sites distants
2. L’interfaçage avec un SIEM ou des outils d’authentification (type Active Directory)
3. La restauration d’un OS infecté par un ransomware vers un état sain
4. L’adaptation de la remédiation opérée, afin qu’elle soit automatique ou manuelle

Des points de vigilance à adresser

Pour autant, un EDR n’est pas à considérer comme une solution miracle car :

• Il peut devenir destructeur entre de mauvaises mains, ce qui nécessite notamment un durcissement de configuration, une revue de la gestion des accès ou encore une procédure de patch management ;
• Certains mécanismes de contournement sont possibles, Wannacry en est un exemple via son utilisation d’un mécanisme de détection d’un environnement sandbox. Si une sandbox était utilisée pour l’exécuter, le virus retardait le lancement de son attaque (le temps que se déroulent les analyses de protection) afin de contourner la défense ;
• Il représente une potentielle surface d’attaque supplémentaire, avec ses propres vulnérabilités logicielles, en raison par exemple du besoin de privilèges élevés des agents déployés sur les postes.

« En 2019, les fonctionnalités des antivirus et des EDR auront fusionné dans une seule et même offre » (Gartner)

L’intérêt que représentent les EDR n’est pas anodin, comme partagé dans une étude Gartner prédisant la fusion de leurs mécanismes de détection, d’investigation et de remédiation avec un socle plus mature, celui des antivirus (source : Gartner, « Magic Quadrant for Endpoint Protection Platforms 2017 », 2017), à partir de 2019.

Le chiffre d’affaires généré par le marché des EDR a doublé entre 2015 et 2016. L’intérêt grandissant de ce domaine d’innovation laisse prédire, selon Gartner, une croissance annuelle de près de 50% du chiffre d’affaires global lié aux EDR jusqu’en 2020.

Actuellement présent sur près de 5% de l’ensemble des équipements compatibles, ce nouvel outil à la mode semble prédisposé à davantage de résonnance dans les stratégies de protection de nos postes de travail, de serveurs mais aussi de nos smartphones.

Les éditeurs

Une liste -non exhaustive- d’acteurs du monde des EDR est renseignée à titre indicatif ci-dessous.

Cet article EDR : Nouveau challenger dans la protection des endpoints est apparu en premier sur RiskInsight.

Ce vecteur d’attaque est applicable à tous les services utilisant une solution de SSO basée sur le protocole SAML2 (hors implémentation HSM).

Explication du Golden SAML

Le titre du billet n’est pas anodin puisque le « Golden SAML » s’apparente au « Golden Ticket » qui frappe le protocole Kerberos. Comme le Golden Ticket, le Golden SAML permet à un attaquant d’accéder à des ressources protégées par des agents SAML (exemples :  Azure, AWS, vSphere, Okta, Salesforce, …) avec des privilèges élevés grâce à un « ticket en or ». Elle permet en outre à l’attaquant d’agir dans l’ombre sans se faire repérer, puisque suite à l’attaque les jetons peuvent être générés hors du SI sans sollicitation du fournisseur d’identité (IDP).

Dans une cinématique standard SAML :

1. Le client tente d’accéder à une application (Service Provider).
2. L’application génère une requête « SAML AuthRequest » afin d’authentifier l’utilisateur.
3. Le fournisseur d’identité (Identity Provider ou IDP) authentifie l’utilisateur et envoie à l’utilisateur une réponse « SAML response » qu’il peut utiliser pour accéder à des ressources exposées par un fournisseur de service (Service Provider ou SP).
4. Le SP vérifie la réponse et identifie l’utilisateur qui est désormais habilité à utiliser le service.

L’attaque repose sur la falsification de la réponse SAML qui permet d’identifier et d’authentifier l’utilisateur. La réponse est signée par la clé privée du fournisseur d’identité et éventuellement chiffrée, selon l’implémentation. En vérifiant l’intégrité de la réponse SAML grâce à sa signature, l’application s’assure que celle-ci a bien été forgée par le fournisseur d’identité et n’a pas été modifiée durant son transit.

Afin de falsifier la réponse, plusieurs informations sont nécessaires :

• La clé privée du fournisseur d’identité ;
• Le certificat public du fournisseur d’identité ;
• Le nom du fournisseur d’identité ;
• Le nom du rôle à usurper (exemple : administrateur).

La seule information réellement complexe à obtenir est la clé privée de signature des réponses SAML. Les trois autres sont des données facilement accessibles, notamment dans les réponses.

Il est possible d’exporter la clé privée en accédant à l’IdP avec un compte admin AD FS. Une première attaque sur ce compte est donc nécessaire.

Une fois ces informations collectées, l’attaquant peut alors librement générer des réponses valides en dehors du domaine sans être repéré. La mise en place d’une authentification forte sur les comptes visés ne protège pas d’avantage de l’attaque puisque la preuve de cette authentification reste portée par la réponse SAML qui peut désormais être falsifiée.

Tant que le certificat de l’IdP n’est pas modifié et que ce changement n’est pas pris en compte sur l’ensemble des fournisseurs de services, l’attaque peut perdurer.

Décryptage de l’attaque

Malgré le ton alarmiste du billet, la vulnérabilité décrite peut tout au plus être assimilée à un choix de conception discutable du protocole SAML 2 qui utilise des jetons signés, mais non à une faille réelle de sécurité. En effet, la condition nécessaire est d’avoir compromis un compte administrateur AD FS pour récupérer la clé privée du domaine. Cependant, l’impact est fort puisque l’attaquant peut, de manière illimitée et hors domaine, accéder à des services protégés par des agents SAML faisant confiance au domaine. La récupération du compte IdP peut être détectée mais les falsifications de réponse peuvent se faire en toute discrétion a posteriori.

En outre, si la compromission d’un compte d’administrateur IdP est détectée, le changement de mot de passe de ce compte ne rendra pas la confidentialité de la clé privée et ne permettra pas de contrer le Golden SAML. Ainsi, la seule solution pour bloquer l’attaquant est de changer la clé privée, ce qui peut avoir un impact fort pour les fournisseurs de service faisant confiance à l’IdP à savoir le rejet temporaire des réponses signées avec la nouvelle clé.

En définitive, le vol de clé privée permet de rendre vulnérable la fédération d’identité et ceci n’est pas nouveau. Les IdP SAML sont concernés comme tout protocole de sécurité émettant des documents signés (OpenID Connect, PKI …)

Comment se prémunir ?

La sécurité des jetons SAML reposant avant tout sur celle de la clé privée de l’IdP, il est impératif de mettre en œuvre tous les moyens nécessaires pour la protéger.

Deux approches sont possibles pour stocker et utiliser cette clé : la solution logicielle et la solution matérielle.

Solution logicielle

Dans le premier cas, la clé est stockée sur un serveur qui porte la responsabilité de la conserver secrète et de réaliser les opérations de signature des réponses. On devra ainsi s’assurer que la machine et son environnement soient bien protégés. Pour cela, il est recommandé d’appliquer certaines recommandations habituelles de sécurité à savoir : isoler cette machine sur un VLAN d’administration, restreindre son accès aux opérateurs essentiels à son fonctionnement, sécuriser ─ via une authentification forte ─ les comptes à privilège permettant d’accéder à la clé, appliquer régulièrement les correctifs de sécurité sur la machine, journaliser les accès, mettre en place des règles SIEM appropriées à l’IdP pour détecter les intrusions, etc.

Si ces mesures de préventions permettent de limiter les risques de compromission de la clé, elles ne peuvent garantir de manière certaine que celle-ci n’ait pas été ou ne sera pas exfiltrée. Il est donc souhaitable que le certificat de l’IdP et sa clé privée puissent être renouvelés à intervalles réguliers, ou en cas de doute sur le maintien de sa confidentialité. Suite au renouvellement du certificat de l’IdP, il sera nécessaire que les fournisseurs de service puissent accepter les jetons sans interruption des accès; en s’assurant qu’ils soient en capacité de récupérer le certificat de manière synchrone et d’accepter les jetons signés par cette clé tout en rendant l’ancien certificat invalide. Cela pourra se faire en exposant le nouveau certificat sur une ressource dédiée.
Toutefois, il est souvent constaté que des effets de bords apparaissent lors d’une rotation de clés (exemple : impacts sur le Service Provider). De même, il est rare qu’un Service Provider puisse supporter une révocation de clé via CRL.

Solution matérielle

La solution matérielle, qui repose sur l’utilisation d’un HSM (Hardware Security Module), est bien plus robuste car elle garantit l’inviolabilité de la clé de signature. Le module se charge de protéger la clé et de réaliser l’ensemble des opérations cryptographiques nécessaires à la signature des réponses. La clé ne sort donc jamais du HSM et une génération de jeton à l’extérieur du SI devient impossible.

Cependant, l’IdP devra protéger le secret lui permettant d’interroger le HSM en suivant les recommandations usuelles exposées précédemment. Si ce secret est compromis, il pourra être généré de nouveau sans impacter les fournisseurs de service.

Cet article Décryptage de l’attaque « Golden SAML » de CyberArk est apparu en premier sur RiskInsight.

Pour éviter ces attaques aux conséquences onéreuses, les entreprises se concentrent bien évidemment sur la sécurisation de leurs infrastructures informatiques critiques, mais les cyber-attaques ne visent pas uniquement les vulnérabilités des réseaux, data centers et postes de travail. Les utilisateurs qu’ils soient internes ou externes à l’organisation sont une cible de choix pour les attaquants, qui usurpent l’identité de l’organisation ciblée afin de réaliser leur méfait.

La présence digitale d’une entreprise : un nouveau facteur de risque

Ces dernières années, la transformation digitale des entreprises s’est caractérisée, entre autres, par un développement exponentiel de la communication externe via le numérique ; les canaux de communication se sont multipliés et renforcés en tant que vecteurs privilégiés d’échange et d’interaction, révolutionnant la relation client et les échanges avec les partenaires. Pour être toujours plus proches près de ces derniers, les entreprises ont favorisé l’utilisation de la communication digitale via :

• Les emails
• La messagerie instantanée
• Les sites web institutionnels et applications web
• Les applications mobiles
• Les réseaux sociaux

Ces médias sont la vitrine de l’entreprise, ils lui permettent de se dépeindre, d’exposer et faire rayonner son image de marque, via les messages, les éléments de langage et l’impact graphique qui lui sont propres. Ils sont la personnification de l’entreprise et renvoient donc directement à sa valeur perçue. De plus, la digitalisation a permis de substituer en grande partie la relation physique par les services numériques, accessibles à toute heure, n’importe où dans le monde et via lesquels l’entreprise donne accès à sa communauté ainsi qu’à ses services et produits, permettant de dynamiser les interactions avec les utilisateurs, toujours plus simples, rapides et personnalisées.

Cette présence digitale accrue ayant permis aux entreprises de développer leur communication ainsi que l’accessibilité à leurs services, les canaux digitaux représentent donc directement l’entreprise et sont l’étendard de son image de marque. Mais il y a bien un revers à cette médaille : cette omniprésence digitale augmente la possibilité pour les attaquants d’usurper l’identité de la société à des fins malveillantes.

La dégradation de l’image de marque : dommage collatéral des cyberattaques

Lors d’une cyberattaque utilisant l’usurpation de l’identité de l’entreprise comme vecteur, les intentions des attaquants peuvent être diverses :

Certaines attaques ont pour objectif direct la décrédibilisation d’une entreprise, mettant ainsi en exergue une certaine incompétence de l’entreprise ou la supériorité d’un groupe malveillant qui souhaite imposer son idéologie antagoniste :

Sur les dernières années, ont eu lieu des cas de défacement de sites internet où le contenu des pages s’est retrouvé modifié pour transmettre de fausses informations et moquer les entreprises afin de nuire à leur image. En 2015, Lenovo en a fait les frais quand le groupe de hackers activistes Lizard Squad s’en est pris à son site web, en redirigeant les visiteurs vers des photos des protagonistes de l’attaque. Il est aussi possible pour les attaquants de publier de fausses informations sur un réseau social après le vol des identifiants du Community Manager. Un des faits marquants de 2017 a été la prise en main du compte Tweeter du ministère de la culture par un plaisantin distillant de nombreux tweets injurieux. Pour les entreprises victimes de ces attaques, les conséquences financières sont à prévoir : suite à ces évènements et annonces, les répercussions sur les ventes et le cours de la bourse sont toujours accompagnées d’un lourd impact sur l’image de marque.

Dans d’autres cas, l’identité de l’entreprise est cette fois détournée par les attaquants cherchant à dérober de l’argent. Dans ce cas, les attaquants se font passer pour l’entreprise afin de réaliser des fraudes visant directement les utilisateurs avec pour but de les duper :

Les arnaques au président sont en augmentation constante et permettent aux attaquants de détourner des sommes d’argent importantes en trompant les employés des directions financières qui pensent devoir exécuter un virement urgent pour un directeur ou membre du COMEX. En France, le préjudice total de cette fraude est estimé à plus de 400 millions d’euros par an.

Les employés des entreprises sont également la cible des campagnes de phishing, qui permettent de déclencher une charge virale contenue dans une pièce jointe ou un lien d’un e-mail paraissant familier. Le but peut être de déployer un cryptolocker pour demander une rançon, ou d’avoir une porte d’entrée sur le système d’information de l’organisation.

Les entreprises sont aussi touchées indirectement quand les campagnes de phishing utilisent leur nom de domaine pour envoyer de faux emails aux clients et leur demandent une mise à jour de leurs informations bancaires ou autres données personnelles pouvant avoir de la valeur.

La grande nouveauté pour la récupération de données client est l’utilisation de fausses apps mobiles imitant une application légitime par son logo et son interface mais agissant comme un logiciel espion (spyware) une fois installée sur le smartphone de l’utilisateur. Ainsi, une fausse application Whatsapp intégrant un malware a été téléchargée plus d’1 millions de fois sur le Google Play store au mois d’octobre 2017.

Dans un monde numérique où la confiance des clients, de plus en plus sensibles aux sujets cyber, se perd facilement, protéger son image et sa marque est donc devenu un enjeu majeur pour les entreprises, au même titre que la protection de ses infrastructures informatiques et ses données. Mais quelles sont les bonnes pratiques à mettre en place pour limiter ces risques d’usurpation ?

Des solutions dédiées et une veille organisée pour mieux se protéger

La protection de l’image de marque d’une entreprise passe ainsi nécessairement par la protection des canaux de communication digitaux. Dépendant de la typologie du canal, différentes actions peuvent être entreprises :

• L’organisation de veille sur les noms de sites web, d’adresses email et de comptes de réseaux sociaux similaires à celui de l’entreprise est une pratique conseillée par l’ANSSI pour lutter contre l’usurpation de la marque, de même que la surveillance des « Dark App store » mettant à disposition des utilisateurs des versions piratées et potentiellement malveillantes d’applications mobiles de l’entreprise.
• La réalisation régulière d’audits et l’utilisation de scanners de vulnérabilité sur les sites institutionnels et les applications mobiles permet l’identification des vulnérabilités qui seraient des points d’entrées lors d’une cyberattaque. Les mesures de correction nécessaires peuvent alors être mises en œuvre pour sécuriser ces médias notamment contre le défacement.
• L’implémentation d’authentification multi-facteurs pour les comptes des administrateurs des services email et des réseaux sociaux permet de réduire le risque d’usurpation de session par le simple vol d’identifiants. Le risque d’une publication ou du partage de contenus malveillants se retrouve ainsi limité, de même que le vol de données sensibles accessibles via les boîtes mails, comme ce fut le cas en 2017 pour le cabinet Deloitte. En effet, plus de 5 millions d’emails contenant des échanges sensibles avec leurs clients ont été dérobés, suite au vol des identifiants d’un de des administrateurs du cabinet
• L’activation de protection comme SPF, DKIM ou DMARC permet d’empêcher l’usurpation des adresses emails de l’entreprise. En effet, ces protocoles permettent de protéger les noms de domaine de l’entreprise en déclarant les adresses IP légitimes pour l’envoi d’emails et en implémentant des mécanismes de signature des emails pour les certifier. Ces protocoles garantissent qu’on ne puisse pas utiliser le nom de domaine de l’entreprise depuis un serveur non déclaré.

L’exposition de l’identité des entreprises ayant été favorisée par la digitalisation, les attaquants et cyber activistes en profitent donc pour attaquer les entreprises et leur écosystème en se faisant passer pour celles-ci. Dans l’ensemble de ces attaques et fraudes, l’attaquant arrive par des moyens plus ou moins complexes à usurper l’identité de l’entreprise pour l’attaquer et à la fragiliser. Une dégradation de l’image de marque d’une entreprise auprès de ses clients mais également du grand public, peut provoquer des pertes financières se chiffrant millions d’euros, auxquels s’ajoutent les pertes faramineuses qu’une attaque paralysant le SI de l’entreprise engendre.

Le sujet de la protection de l’identité digitale des entreprises, quelle que soit sa forme, doit donc être adressé afin qu’elles se prémunissent des fréquentes et coûteuses usurpations dont elles sont victimes.

Cet article Protection de l’identité de l’entreprise, nouveau challenge de la digitalisation est apparu en premier sur RiskInsight.

Plus d’informations ici : http://bit.ly/wavestone-cyber-resilience

Cet article NotPetya : 5 mois après, quels sont les impacts ? est apparu en premier sur RiskInsight.

Aux origines : les Honeypots

Le principe de Deceptive Security est basé sur l’utilisation de Security Decoys (ou « leurres » en français), inspirés des Honeypots (pots de miel). Le principe est simple : des leurres sont répartis aux points stratégiques du SI et toute activité y est tracée. Ces leurres n’ayant d’autres utilités que d’appâter de potentiels attaquants, toute communication avec l’un d’entre eux est nécessairement suspecte. Leur analyse permet donc de détecter et d’étudier de potentielles menaces.

Aujourd’hui, les Honeypots demeurent peu répandus, les principaux cas d’usage restant cantonnés à des cas de recherche ou de récupération d’informations (notamment de Threat Intel). Ainsi, des « pots de miel » sont exposés publiquement afin d’observer le trafic reçu sur Internet, et d’en extraire des informations : observation de nouvelles menaces (ransomware, chevaux de Troie…), identification d’IP suspectes ou compromises (SPAM, botnet…) … On peut cependant noter le regain d’intérêt pour les honeypots suite à l’attaque WannaCry, pendant laquelle nombre d’entre eux ont été utilisés pour récupérer et analyser le ransomware.

Dans les SI des entreprises, leur utilisation est encore plus marginale, et – en plus des cas cités précédemment – majoritairement limitée à des besoins bien spécifiques de gestion de crise ou de réponse à incident. Dans ces cas, les Honeypots sont utilisés pour contenir la menace dans un périmètre défini (afin de protéger les ressources critiques), étudier son comportement et en déduire son objectif.

Ainsi, aujourd’hui, les Honeypots sont principalement utilisés dans des buts d’observation et de compréhension de la menace.

Les difficultés que les Honeypots rencontrent pour se démocratiser reposent principalement sur deux limites : ceux-ci sont généralement trop facilement détectés par les attaquants, et le passage à l’échelle d’un SI relève de l’impossible, notamment par manque d’industrialisation des solutions.

Suivre le rythme : wider, faster, stealthier

Le principe de Deceptive Security vise justement à adresser ces deux problématiques, et repose sur la capacité à déployer des leurres de manière industrielle et sur des périmètres étendus. Le déploiement de ces honeypots peut être réalisé de deux façons : par le déploiement d’environnements leurres dédiés, ou par l’ajout de leurres (agents…) installés sur des environnements existants (serveurs de production, de transfert de fichier…). La stratégie de certaines solutions de Deceptive Security repose sur le déploiement de leurres à une échelle telle que ceux-ci créent un « second SI » dans le SI (ou une partie de celui-ci), similaire à une toile d’araignée dans laquelle l’attaquant vient s’emmêler.

Même si cette industrialisation représente un progrès majeur en soi, ce qui justifie la création d’une nouvelle catégorie d’outils (plutôt que de parler de simple évolution), c’est surtout la capacité à mieux dissimuler les leurres. Terminés les serveurs vulnérables avec des mots de passe par défaut : le piège est évident, l’attaquant n’y croit plus. Aujourd’hui, les solutions de Deceptive Security les plus avancées racontent une histoire à l’attaquant afin de le guider peu à peu vers leurs pièges.

La recette : remonter les miettes jusqu’au pot de miel

Pour cela, des informations (généralement appelées « miettes ») sont disséminées sur les environnements existants : serveurs de productions, AD… Bien entendu, l’industrialisation du déploiement de ces miettes est lui aussi un des enjeux principaux mis en avant par les solutions les plus avancées. Une miette représente un brin d’information : la mention d’un serveur hébergeant un middleware obsolète, des identifiants de connexion à un serveur, l’existence d’un compte possédant des droits d’administration…

Selon les solutions, ces miettes peuvent poursuivre deux buts distincts. Elles peuvent être utilisées comme un mécanisme de protection, en guidant les attaquants vers de fausses pistes, ralentissant leur progression et les encourageant à jeter l’éponge et à changer de cible.

Mais surtout, elles peuvent aussi permettre la détection des attaquants. Dans ce cas, chacune des miettes représente un indice, que les attaquants peuvent récolter en explorant les différentes ressources du réseau. Une fois récoltés, interprétés et corrélés, ces indices guident petit à petit les attaquants vers des leurres. Et c’est ici qu’est le réel enjeu, et la rupture par rapport au positionnement classique, de la Deceptive Security : comment créer des scénarios plausibles -et variés- pour piéger les attaquants ?

Ainsi, là où les Honeypots se contentent de circonscrire l’attaquant dans un périmètre défini afin de comprendre le fonctionnement et l’objectif de l’attaque, les Security Decoys visent à être déployés sur un maximum de ressources, afin d’augmenter les chances de détection, et doivent donc savoir rester discrets.

Une fois le contact avec le leurre établi, l’attaquant est repéré. Son comportement peut être alors étudié ou son accès bloqué. Dans les cas les plus poussés, de fausses informations peuvent aussi être mises à disposition pour exfiltration, permettant de faire croire à l’attaquant que sa tentative est réussie, ou de le déstabiliser lui ou son employeur : faux secrets de fabrication ou projets de brevets, fausses stratégies de rachat…

Une nouvelle approche aux nombreux avantages

Au vu de son fonctionnement, la Deceptive Security présente certains avantages par rapport aux solutions existantes.

• La transparence pour les utilisateurs et les applications : la mise en place de leurres n’ajoute aucune contrainte aux équipes IT et utilisateurs finaux : pas d’ouverture de flux, de blocage de communication ou de fichiers légitimes… ;
• Un faible taux de fausses alertes: un leurre n’étant pas supposé être utilisé de manière légitime, tout contact a de forte chance d’être lié à une menace ;
• L’absence de connaissance des attaques pour être efficace : la protection apportée par la Deceptive Security n’est pas basée sur une connaissance préalable de la menace à détecter ou bloquer (pas de signatures…). Elle est donc à même de détecter certaines menaces inconnues (0-days sur des dispositifs de sécurité ou des middlewares…) et ne nécessite pas de mise à jour continue pour être efficace. Cependant, pour détecter de cas spécifiques – sur un type d’attaque ou une ressource ciblée par exemple -, une bonne connaissance des vecteurs d’attaques reste une nécessité pour la création de miettes convaincantes et pertinentes pour le scénario souhaité ;
• L’absence de phase d’apprentissage : la détection ou le blocage d’une menace ne repose pas non plus sur l’apprentissage du réseau (seuils, patterns…), même si une connaissance de celui-ci reste nécessaire. L’outil est donc opérationnel dès son déploiement, et n’est pas vulnérable pendant cette phase de définition de la « normalité » du réseau. Ainsi, la Deceptive Security évite les principaux inconvénients des approches par signature et par apprentissage ;
• L’absence de besoin de corrélation avec d’autres ressources: même si la corrélation avec d’autres ressources reste un plus, une simple connexion sur un leurre suffit à lever une alerte nécessitant d’étudier le cas plus en détail ;
• La possibilité de couvrir des périmètres généralement difficiles à protéger: des leurres peuvent être déployés sur de nombreux périmètres (IoT, legacy…) avec une complexité limitée, et donc apporter une nouvelle protection à ces ressources souvent non-couvertes par les dispositifs classiques.

Des cas d’usage bien spécifiques

Si la Deceptive Security permet de détecter certaines attaques classiques (malwares, scans…), le réel intérêt de ce type de solution n’est pas là, ces menaces pouvant être adressées plus efficacement par les dispositifs existants (antivirus…).

Le meilleur cas d’usage de la Deceptive Security est la détection des tentatives d’explorations fines et d’installation au sein du réseau, permettant ainsi -quand le niveau de sophistication des miettes est suffisamment important- de détecter certaines APT. Plus généralement, ce type de solution permet de détecter les mouvements latéraux au sein du réseau, et ce même avec un niveau limité de personnalisation des miettes.

Ce type de dispositif n’est donc pas destiné à remplacer les mesures existantes, mais peut agir comme complément, dans le but de détecter ces types de menaces échappant communément aux dispositifs classiques.

Et pour la suite ?

Concernant l’évolution de ces solutions, certains travaux cherchent à appliquer ce principe (déguiser les leurres en environnements de production) … mais dans l’autre sens ! En faisant passer les environnements de production pour des leurres, cette démarche à contrepied permettrait d’éviter à ces ressources d’être ciblées par les attaquants !

Les éditeurs

Une liste -non exhaustive- d’éditeurs de solution de Deceptive Security est renseignée à titre indicatif ci-dessous.

Cet article Deceptive Security : comment arroser l’arroseur ? est apparu en premier sur RiskInsight.

Muscler la gestion de crise

Les crises cyber sont des crises particulières : souvent longues (plusieurs semaines), parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?) et impliquant des parties externes elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc nécessaire d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer la dimension cyber.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agira donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction de plan de défense.

Au-delà de l’aspect organisationnel, il faudra s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs ou de « vaccin », isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés sur le SI, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La définition d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faut faire face à la crise, la réalisation d’exercice de crise sera un bon révélateur de la situation réelle.

Repenser les dispositifs de continuité

Les dispositifs de continuité doivent également évoluer pour s’adapter aux menaces cyber. Les solutions possibles sont nombreuses et peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certains établissements ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les délivrer rapidement en cas de destruction physique.

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyberattaque. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir, mais qui est envisagée pour certaines applications critiques dans le monde de la finance (notamment les infrastructures de paiement à caractère systémique).

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative (« multi-level controls »). Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau (« floodgate ») que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Ces évolutions, souvent majeures, doivent s’inscrire dans une revue des stratégies de secours existantes afin d’évaluer leur vulnérabilité et l’intérêt de déployer des nouvelles solutions de cyber-résilience, en particulier sur les systèmes les plus critiques. L’évolution des Business Impact Analysis (BIA) pour inclure cette dimension est certainement une première étape clé.

Sans cybersécurité, la cyber-résilience n’est rien

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager (RM) – ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) – sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%, il faut donc accepter la probabilité d’occurrence d’une attaque et c’est à ce moment-là que le RM ou son RPCA prendra tout son rôle.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (2/2) est apparu en premier sur RiskInsight.

Face à une cyberattaque majeure, qu’elle soit destructive ou qu’elle entraîne une perte de confiance dans les systèmes clés, le premier réflexe pour une majorité d’entreprises est d’activer le plan de continuité d’activité (PCA). Celui-ci est un élément majeur de la stratégie de résilience des organisations ; afin d’en assurer la survie lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ressources informatiques, d’infrastructures de communication, d’immeubles voire de collaborateurs.

Or les cyberattaques majeures, destructives comme Wannacry ou NotPetya ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) comme les attaques ciblées en profondeur (APT), n’ont pas été prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers, focalisés sur un enjeu de disponibilité, n’appréhendent pas les problématiques de la destruction simultanée et de la perte de confiance dans le SI induites par les cyberattaques.

En effet, les dispositifs de continuité du SI, le plus souvent liés aux ressources qu’ils protègent, sont également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud » à la fois pour répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. De fait, cette « proximité » entre le SI nominal et son secours rend vulnérables les dispositifs de continuité aux cyberattaques.

Quelles vulnérabilités pour les dispositifs de continuité ?

À titre d’exemple, lors d’une intervention de crise suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée. Malheureusement ceux-ci avaient été détruits de la même manière que les sites nominaux car ils partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé à ce moment très vains.

Enfin, les sauvegardes, établies sur une base souvent quotidienne, constituent pour la plupart des organisations le dispositif de dernier recours pour reconstruire le SI.

Malheureusement, en cas de compromission en profondeur, du fait de l’antériorité de l’intrusion (souvent plusieurs centaines de jours avant sa détection), ces sauvegardes embarquent de fait les éléments malveillants : malwares, camps de base, mais aussi les modifications déjà opérées par les attaquants. De plus, la continuité en tant que telle des systèmes de sauvegarde est souvent négligée. Lors de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes ont eux-mêmes été détruits. Les restaurer a pris plusieurs jours vu leur complexité et leur imbrication dans le SI (nécessité de disposer d’un ActiveDirectory pour lancer des restaurations alors que la sauvegarde de l’AD était nécessaire pour le reconstruire, reconstruction de l’index des bandes de sauvegardes détruit avec le reste…).

S’agissant des SI industriels, les constats sont tout aussi manifestes. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ne disposent souvent pas de mécanismes de sécurité avancés. Du reste, leur cycle de vie long (plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités parfois anciennes. Enfin l’indépendance des chaînes de contrôle (Systèmes Instrumentés de Sécurité, cf. encadré ci-après) vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours appliquée.

Des scénarios d’attaques majeures illustrés par des attaques récentes

La destruction logique ou l’indisponibilité d’une grande partie du système d’information.

Concrétisé par les attaques de vrai-faux rançongiciels Wannacry et NotPetya, ce type d’attaque entraîne une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par ce type d’attaque (Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h. La situation au démarrage de la crise est très difficile car il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes de plusieurs centaines de millions d’euros suite à ces attaques.

La compromission et la perte de confiance dans le système d’information

Il s’agit d’attaques ciblées qui ne remettent en pas en cause le bon fonctionnement du système mais qui visent à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…), leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi exfiltrer tout type de données ou réaliser des actions métiers demandant plusieurs validations successives. Ces attaques ont touché de très nombreuses entreprises dans tous les secteurs avec comme conséquences des fraudes massives, comme celles ayant touché la banque du Bangladesh, ou des vols de données financières et de paiements comme celles ayant touchés plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot. La situation au démarrage de la crise est complexe en raison d’une conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il s’agit alors d’investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes touchées par ces attaques ont fait état d’impacts financiers de plusieurs centaines de millions d’euros.

Cet article est issu de notre focus « Cyber-résilience : plier pour ne pas rompre« .

Cet article Cyber-résilience : plier pour ne pas rompre (1/2) est apparu en premier sur RiskInsight.

L’IMPORTANCE DU FACTEUR HUMAIN

Selon la légende, un homme déguisé en moine pénétra sans attirer la méfiance dans une forteresse du sud-est de la France (actuel Monaco), une nuit de janvier 1297. Il put ainsi ouvrir à des soldats qui s’en emparèrent facilement. Il en va de même pour des attaques perpétrées à l’aide de dispositifs USB familiers, que l’utilisateur branche en tout confiance sur le port d’une machine.

Une étude publiée au Blackhat USA en 2016 a montré que 45% des 297 clefs USB disséminées sur un campus universitaire ont été connectées à des ordinateurs et leurs fichiers ouverts. Cette étude illustre bien la capacité à mener des attaques efficaces via des clefs USB et pour un coût minime.

Par ailleurs qui n’a jamais laissé un téléphone portable se recharger sur l’un des ports USB de son PC ?

Si la connexion au réseau fait le plus souvent l’objet de nombreuses mesures de sécurité, les autres portes que constituent les ports USB font, généralement, l’objet d’une attention moindre, sur les serveurs, les postes de travail et désormais les tablettes et smartphones qui intègrent la technologie USB On-The-Go.

Les dispositifs USB sont présents partout, tirant partie de l’interopérabilité de l’Universal Serial Bus.

Le revers de la médaille de ce développement historique et de sa compatibilité descendante, est qu’il n’a pas été techniquement conçu « security by design » et que ces dispositifs offrent une large surface d’attaque.

Figure -Vidéo illustrative de sensibilisation sur la sécurité des clefs USB

UN LARGE PANEL D’ATTAQUES RENDUES POSSIBLES PAR L’USAGE (PRESQUE) INCONTOURNABLE DES DISPOSITIFS USB ET AU MANQUE INTRINSÈQUE DE SÉCURITÉ DES STANDARDS HISTORIQUES

Les périphériques de stockage amovibles, clefs ou disques USB, peuvent servir de vecteur à la propagation d’un code malicieux. D’autres types de périphériques USB (ex : webcam, clef 4G) peuvent également intégrer une fonction de stockage amovible, par exemple pour faciliter l’installation du pilote logiciel du périphérique.

La provenance légitime d’une clef USB ne peut garantir entièrement son innocuité, si celle-ci a été compromise en usine ou avant l’envoi aux clients, comme cela a pu arriver récemment à un fournisseur de systèmes de stockage.

Par ailleurs, un périphérique USB d’apparence banale, peut avoir été reprogrammé ou modifié physiquement pour compromettre ou endommager le système sur lequel il est branché, par exemple :

• En se faisant passer pour un clavier et envoyer des commandes au système hôte, lesquelles vont par exemple permettre sa prise de contrôle à distance. Il est à cet effet possible de reprogrammer une clef USB du commerce (voir cas d’usage illustratif dans la vidéo ci-dessus) ou d’utiliser un dispositif ayant l’apparence d’une clef USB classique ;
• En se faisant passer pour une interface réseau et un serveur DHCP/DNS, afin notamment d’intercepter le trafic de l’utilisateur, d’introduire des portes dérobées sur le poste de l’utilisateur, de faire exécuter par son navigateur des codes malveillants sur des sites sur lesquels il est autorisé à se connecter, voire d’exposer un  routeur interne ;
• Pour détruire le système hôte en délivrant au connecteur des tensions élevées.

Une clef USB peut également être utilisée pour attaquer des équipements sensibles déconnectés du réseau de l’entreprise, par exemple des équipements industriels, lorsque celle-ci est utilisée en « navette » avec des postes connectés internet, donc à un attaquant externe potentiel.

Il est également possible de tirer parti du rayonnement électromagnétique qui peut se produire au travers d’un périphérique/câble USB, d’un poste isolé de tout réseau, pour permettre à un code malicieux, introduit via le dispositif USB, d’exfiltrer des informations à quelques mètres.

Les attaques consécutives à la modification de périphériques USB restent encore limitées, assez ciblées et potentiellement très efficaces (ex : Stuxnet en milieu industriel). La mise au point de certaines de ces attaques est facilitée par les sources d’informations, les tutoriels et les outils librement accessibles sur Internet.

L’arrivée de l’USB-C, également utilisé comme alimentation électrique des nouveaux ordinateurs portables, peut contribuer à augmenter un peu plus la surface d’attaque (chargeurs, packs de batterie), tant que la compatibilité avec des standards non sécurisés devra être maintenue pour des raisons de compatibilité descendante avec les autres versions d’USB et dans l’attente de la généralisation de futurs chargeurs sécurisés.

LES CONTRE-MESURES DOIVENT ÊTRE CIBLÉES SUR LES RISQUES LES PLUS ÉLEVÉS (ET DONC ÉGALEMENT SUR L’HUMAIN)

L’évaluation des risques liés aux dispositifs USB doit permettre d’identifier les périmètres du SI et les populations vers lesquels cibler en priorité les contre-mesures :

• Sensibilité des populations (VIP, mainteneurs, administrateurs systèmes …) ;
• Sensibilité de l’équipement sur lequel il est possible de connecter un dispositif USB (poste utilisateur, poste sensible déconnecté du réseau, station d’administration, serveur, équipement industriel …).

La connexion d’un périphérique USB à un équipement passe par un choix humain. Il est donc essentiel de sensibiliser les acteurs, y compris leur management opérationnel, par des actions classiques (supports de communication des risques et des bonnes pratiques, …) voire plus innovantes (ex : disperser des clefs USB témoins remontant une alerte une fois connectées à un poste de travail, effectuer des démonstrations, organiser des jeux de plateau pour entraîner des populations plus ciblées à évaluer certaines prises de risque, …).

Les contre-mesures techniques sont un complément. Leur efficacité demeure toutefois variable.

• Un antivirus pourra le plus souvent détecter un fichier infecté sur un périphérique de stockage USB avec la même efficacité que si ce fichier se trouvait sur un autre espace de stockage. Certains produits pourront n’autoriser la lecture du contenu d’un stockage amovible, que si celui-ci a préalablement été chiffré avec une clef permettant d’y accéder seulement depuis des postes de l’entreprise ;
• Des équipements de ‘sas’ de décontamination peuvent également être utilisés pour sécuriser les échanges de fichiers entre une clef USB et le SI de l’entreprise ;
• Des solutions logicielles permettent de contrôler la connexion d’un dispositif USB à des groupes de postes ou serveurs, en fonction de caractéristiques annoncées lors de son branchement. Il s’agit du moyen le plus répandu pour maîtriser la connexion des dispositifs USB. Cependant, un dispositif USB modifié peut dans certains cas arriver à tromper cette protection logicielle ;
• Le marché propose également des clefs USB avec un micrologiciel sécurisé, qui permettent de s’assurer que celui-ci n’a pas été reprogrammé. Néanmoins, il reste toutefois possible d’introduire dans l’entreprise des dispositifs piégés reprenant ou imitant le packaging extérieur de clefs USB sécurisées ;
• La neutralisation ou le blocage physique des ports USB, en particulier sur les postes les plus sensibles, tels que des stations d’administration ou des stations de conduite dans le milieu industriel, reste toutefois une solution assez efficace pour des périmètres spécifiques.

Nous devrons attendre encore un peu avant de pouvoir pleinement bénéficier d’une sécurité efficace portée par de nouveaux standards USB. En attendant, le parc non sécurisé et le risque s’accroissent. Pour y faire face, ne comptons pas uniquement sur des réponses techniques et ne négligeons pas le facteur humain.

Cet article L’habit ne fait pas le moine – Ou l’importance du facteur humain dans la maîtrise du risque USB est apparu en premier sur RiskInsight.

Malgré tout, de plus en plus d’attaques sur des environnements Blockchain sont constatées, avec des fraudes s’élevant souvent à plusieurs dizaines de millions d’euros.

Mais alors, quel niveau de confiance peut-on vraiment accorder à cette technologie ? Décryptage des attaques visant la Blockchain et retour sur les mesures à prendre pour améliorer ce niveau de confiance.

Protéger les services et applications accédant à la Blockchain

Un membre d’un réseau Blockchain est identifié grâce à une paire de clés cryptographiques : une clé privée, qui lui permet de signer ses transactions et de bénéficier des transactions reçues ; et une clé publique, qui permet aux autres membres du réseau d’identifier les transactions émises de sa part et de lui en transmettre. S’assurer de bien conserver et protéger sa clé privée est donc vital. Or, celle-ci est souvent stockée par son propriétaire sur son ordinateur ou téléphone, périphériques connus pour être aisément attaquable.

Aussi, de plus en plus d’utilisateurs choisissent de confier leur clé privée à des intermédiaires. Force est de constater que la plupart des attaques impactant Bitcoin ont en réalité directement ciblé ces plateformes intermédiaires. Il est donc primordial de protéger la manipulation des clés privées et plus globalement l’ensemble des services accédant au réseau Blockchain.

Dans le cas d’une Blockchain s’appuyant sur des smart-contracts, le niveau d’interaction avec l’extérieur du réseau peut être important, puisque ces derniers s’appuient sur la vérification de paramètres d’entrée, potentiellement externes au réseau. Il n’est alors plus question de sécuriser seulement les plateformes accédant à la Blockchain, mais également celles accédées par la Blockchain pour valider les conditions d’une transaction.

Exemples de services accédant à la Blockchain Bitcoin

Surveiller la puissance de calcul des mineurs pour éviter une attaque 51%

L’attaque 51% consiste à avoir plus de 51% de la puissance de calcul du réseau dans le but d’annuler, ajouter ou modifier des transactions présentes dans un bloc. L’idée est de créer une chaine alternative et plus longue que la Blockchain existante afin de la remplacer. Cela est rendu possible en exploitant un paramètre essentiel de la Blockchain : lorsque deux chaînes sont concurrentes, la chaine la plus longue est considérée comme la chaine légitime.

Explication de l’attaque 51%

Ce risque est plus important dans le cadre de Blockchains privées ou hybrides, composées d’un nombre restreint d’utilisateurs, et pouvant donc plus facilement représenter plus de la moitié de la puissance de calcul. Aussi, des mesures de sécurité doivent être mises en place pour prévenir et détecter ce type d’attaque : engagements contractuels, mécanismes de surveillance et de contrôle, etc.

Sécuriser le code des smart-contracts

Un smart-contract est un programme informatique inscrit dans une Blockchain et qui s’exécute de manière automatique une fois les conditions du contrat réunies.

Les conséquences d’une erreur de codage peuvent être catastrophiques et difficilement réversibles, comme en témoigne l’affaire TheDAO (application basée sur la Blockchain Ethereum et se présentant comme un fond d’investissement participatif et mutualisé). À partir d’une vulnérabilité découverte dans le code source du smart-contract TheDAO, un membre du réseau a pu drainer le compte principal de l’application à hauteur de 50 millions de dollars. Ces fonds furent en partie récupérés suite à une opération appelée « hard fork », s’apparentant à une attaque 51% concertée.

En soi, ceci n’était pas une attaque car le contrat a été respecté, seule sa conception était défaillante. La création de cas d’usage basés sur des smart-contracts doit impérativement être associée à des mesures de sécurité applicative et un développement sécurisé.

Un système Blockchain est souvent considéré comme sécurisé par nature, mais les attaques présentées témoignent du contraire. La nature des plateformes accédant ou accédées par la Blockchain, la complexité des éventuels smart-contracts ou le nombre de mineurs du réseau sont autant d’éléments pouvant influer sur la sécurité du service fourni.

Affaire TheDAO

Cet article Peut-on avoir une confiance sans limite dans la Blockchain ? est apparu en premier sur RiskInsight.

Il ne s’agit pas de la seule méthode qui peut être imaginée pour pirater un avion, et la maintenance au sol peut aussi être un moment de choix pour s’infiltrer dans le système informatique d’un avion.
Quels sont les risques et comment s’en prémunir ?

Piratage d’un avion depuis le siège passager : un scénario probable ?

Si le récit fait par Chris Roberts a rendu quelques experts dubitatifs, le FBI prend la menace très au sérieux. En effet, l’événement a suscité l’ouverture d’un mandat d’investigation. Celui-ci a révélé que le matériel saisi à sa descente d’avion par le bureau fédéral se composait notamment d’un câble réseau modifié qui lui aurait permis de connecter son ordinateur au système.

Quelle réalité du risque ?

L’utilisation de plus en plus courante de technologies standardisées ou universelles (type port Ethernet) à la différence des particularités de la construction aéronautique conduit à faciliter les cyberattaques puisqu’elles nécessitent moins de connaissances spécifiques à l’aviation.

En raison de l’utilisation de réseaux multiplexés, des passerelles existent entre le système destiné aux passagers et le système avionique qui permet de contrôler l’avion (navigation, communication, pilote automatique…).

Quels scenarii de risque ?

Plusieurs scenarii peuvent être imaginés à partir de ces risques d’intrusion. En effet, le piratage des outils informatiques des autres passagers par le biais du WiFi ou d’un câble Ethernet branché sur le système ouvert est une possibilité. Il serait également possible d’accéder aux informations de communication de l’avion pour diffuser de faux messages sur les écrans des passagers afin de créer des mouvements de panique.

Mais on pourrait également imaginer des injections de logiciels malveillants, des actions sur des systèmes critiques (désactivation ou activation d’équipements de sécurité…).

Maintenance au sol : des avions connectés par 3G ou Wi-Fi

Aujourd’hui, les opérations de maintenance logicielle sur les avions les plus modernes (B787, A380 et A350) peuvent être réalisées à distance. Elles nécessitent une suite logicielle sol, développée par le constructeur, déployée dans la zone de confiance de la compagnie. Ce système sol communique avec l’appareil, lorsqu’il est au sol uniquement, par une connexion 3G ou Wi-Fi avec l’avion afin d’opérer diverses opérations de maintenance informatique. La chaîne de liaison se veut très sécurisée : infrastructure d’authentification en partie cloisonnée, lien VPN, signature de tous les composants. Néanmoins, elle constitue une faille potentielle supplémentaire d’intrusion et de corruption du système.

Quels risques peuvent être identifiés ?

Dans ce cas de figure, le risque de sabotage est prépondérant. Les fonctions avioniques critiques ont peu de chances d’être touchées. Mais des données EFB erronées donneraient déjà des sueurs froides aux pilotes. Les EFB (Electronic Flight Bag) sont des équipements d’aide au vol (carte, approche d’aéroport, procédures…). Une intervention frauduleuse sur ces données semble alors plus probable par une corruption du système que par une attaque directe de l’avion. En effet, elle ne permettrait pas de contourner les mécanismes de signature électronique. Néanmoins, elle est loin d’être infaillible. En effet, de nombreuses attaques reposent désormais sur du vol de certificats, voire des attaques par rebond visant déjà l’émetteur des certificats afin de produire des certificats falsifiés, qui permettent par la suite de conduire l’attaque finale.

Comment atténuer les risques ?

Face à la multiplication des cyberattaques, une coordination européenne est nécessaire pour mettre à jour les mécanismes de sécurité. Elle permettrait d’assurer leur bon déroulement, afin de tenir compte des attaques et des failles les plus récentes. Elle développerait également davantage la certification des systèmes au sol comme à bord. Ces opérations sont potentiellement complexes dans le monde de l’aérien avec les principes de certification des équipements.

La mise en place d’une évaluation du risque selon une approche holistique, qui prendrait en compte tous les cas de figure possibles (risques internes et externes à l’entreprise), permettrait une meilleure identification des acteurs se connectant aux systèmes impliqués dans le fonctionnement de l’aviation civile.

Les récentes annonces sur la sécurité des automobiles connectées montrent que les problèmes de cybersécurité sont de plus en plus prégnants dans les systèmes embarqués, quel que soit le secteur d’activité !

Cet article Cybersécurité dans l’aérien : pirater un avion, c’est possible ? est apparu en premier sur RiskInsight.

Quels sont les risques de ces évolutions dans l’environnement aérien ? Comment s’en prémunir ?

Pourquoi le passage au protocole IP

Le protocole IP va devenir le standard général d’échange de données pour le contrôle aérien, dans le but de mettre en place un système de communication performant entre le sol et l’avion, ainsi qu’entre les avions eux-mêmes.

Les avions, naviguant désormais très précisément, peuvent ainsi négocier des ajustements de trajectoire en permanence. À terme, l’usage du protocole IP et des moyens de navigation satellitaires permettront de fluidifier le trafic aérien et d’améliorer la performance de l’espace aérien. Cette nouvelle génération de gestion du trafic aérien est mise en place aux États-Unis (programme NextGen) comme en Europe (programme SESAR – Single European Sky Air Traffic Management Research).

De nombreux acteurs seront connectés en même temps par le biais du système de gestion des données au sol SWIM (System Wide Information Management). Ce système permet de connecter de nombreux services comme la météo, le contrôle aérien, ainsi que différentes informations transmises par les compagnies aériennes et les aéroports.

À quels risques doit faire face l’environnement aérien ?

L’augmentation de la connectivité entre les différents systèmes d’information multiplie donc les possibles points d’entrée pour une attaque informatique. Des vulnérabilités nouvelles sont à prendre en compte, notamment par l’attaque des points les plus faibles comme les systèmes d’information des compagnies aériennes qui sont, par nature, plus ouverts vers le monde extérieur. Même si des systèmes de protection peuvent être mis en place pour protéger les différents SI communicant entre eux, la découverte et l’exploitation d’une faille n’est jamais qu’une question de temps.

Par ailleurs, les aéronefs communiquent sur le réseau hertzien, notamment avec des liaisons de données non cryptées (ADS-B – Automatic Dependent Surveillance Broadcast). Il est donc possible de capter des données en mode lecture en se connectant à la bonne fréquence et, par exemple, de géolocaliser des avions facilement. C’est ce que font certains sites internet comme flightradar24 qui présente une carte des avions en temps réel.

Des attaques par déni de service ou dans l’objectif de déstructurer le système afin de provoquer une crise de confiance (forcer l’envoi de fausses informations) sont donc plausibles. Elles pourraient rendre des centres de contrôles, et donc des espaces aériens entiers, inopérants pour des durées potentiellement longues comme dans le cas des avions de LOT.

Face aux diverses menaces, comment réagir ?

Le rapport du GAO est un signal d’alerte pour les problématiques similaires que peut rencontrer l’Europe notamment avec le programme SESAR. Il est nécessaire de réestimer les programmes en cours à l’aune de la cybersécurité. Une plus grande coordination à l’échelle européenne permettrait de prendre conscience d’un plus grand nombre de risques et de mettre en place des mesures de protection appropriées.

Le développement d’un domaine réglementaire fixant clairement les dispositifs de gouvernance et dont les rôles de chacun permettraient également de coordonner les efforts de chaque acteur afin d’éviter les redondances ou les impasses sur certains sujets de sécurité.

Toutes ces thématiques sont actuellement un sujet d’intérêt pour nombre d’autorités européennes comme en témoignent l’étude lancée par la SESAR Joint Undertaking en mai 2014 et la conférence  organisée par l’EASA (European Aviation Safety Agency) sur la cybersécurité pour l’aérien en mai dernier. À l’échelle de la France, des groupes de travail existent sur ces sujets au niveau de l’ANSSI et de la DGAC.

Les risques sont donc connus, les acteurs identifiés, il faut maintenant aller vite et bien accompagner les acteurs qui conçoivent les systèmes pour éviter l’apparition de dispositifs vulnérables qui ne pourraient pas, notamment, être mis à jour en cas d’apparition de nouvelles menaces !

Cet article Passage au protocole IP : quelles conséquences pour la cybersécurité dans l’espace aérien ? est apparu en premier sur RiskInsight.

Des attaques dont les objectifs sont souvent difficiles à cerner

L’actualité le montre trop régulièrement, les actes cybercriminels se multiplient et visent tous types d’organisation. Certains sont revendiqués et leurs objectifs sont rapidement connus. C’est le cas pas exemple de l’attaque visant le site Ashley Madison où les motivations sont explicites.

Mais dans la plupart des cas, les objectifs de l’attaquant sont beaucoup plus difficiles à identifier ! Il est pourtant crucial de le faire pour pouvoir réagir au mieux et protéger rapidement ce qui n’a pas encore été touché par l’attaque.

Une des clés pour mieux comprendre une attaque consiste à exploiter les erreurs des attaquants. En effet, malgré leur niveau de compétences potentiellement élevé, les pirates restent des humains et commettent souvent des erreurs. Des fautes qu’il est possible d’exploiter pour mieux comprendre l’attaque et la contrer, mais aussi pour identifier ceux à son origine.

Utiliser les erreurs des attaquants pour mieux les comprendre

Le cas récent d’Ashley Madison semble être un bon exemple, même s’il faudra attendre les investigations complètes pour confirmer tous les éléments. Les attaquants auraient diffusé les données volées via BitTorrent en utilisant un serveur loué chez un hébergeur aux Pays Bas. Ils auraient cependant oublié de sécuriser ce serveur, en particulier ils n’ont pas mis de mot de passe sur les interfaces d’administration web. Même si cela ne permet pas de les identifier directement, il s’agit d’une piste de premier choix pour les forces de l’ordre en charge des investigations. Il faut cependant rester prudent car cela peut aussi être une forme de diversion réalisée par les attaquants. Affaire à suivre !

Autre exemple, le cas « Red October ». C’est l’affaire d’une vaste opération de cyber espionnage qui a commencé en mai 2007 et qui a été découverte par le cabinet Kaspersky quelques années plus tard. Le cabinet a réussi à identifier, bloquer et neutraliser le logiciel malveillant en utilisant une faille de l’attaque. En effet, les noms de domaines pour les serveurs d’exfiltration qui étaient utilisés dans le code malveillant n’avaient pas été réservés par les attaquants. Cela a permis à Kaspersky de simuler un de ces serveurs et de voir qui était infecté et quelles données étaient capturées.

Parfois, ces erreurs permettent même d’identifier les auteurs de l’attaque, comme ce fut le cas avec la traque de la personne derrière le malware PlugX.

Nos consultants ont d’ailleurs eux aussi rencontré ce genre de situation dans le cadre d’une attaque ciblée chez un de nos clients. Les pirates avaient en effet « oublié » la présence d’un keylogger sur les serveurs internes utilisés pour l’exfiltration des données, ce qui a permis à nos experts d’identifier quelles données étaient ciblées et où elles étaient envoyées. Nous avons même pu récupérer le login et le mot de passe utilisés par les attaquants. Le concept de « l’arroseur arrosé » remis au goût du jour.

Savoir tirer parti de ces informations pour mieux gérer la crise

Les informations obtenues grâce à ces erreurs sont très précieuses, elles permettent ensuite d’adapter la réponse à l’incident. D’autant plus que les attaquants utilisent parfois des mécanismes de diversion « bruyants » (redémarrage de machines, effacement de fichiers, forte activité CPU, voir déni de service…) afin de détourner l’attention des vrais données qu’ils visent. Une compréhension « métier » des objectifs de l’attaque permet d’éviter de se focaliser sur ces pièges.
Il est même souvent intéressant de laisser l’attaque se dérouler pour mieux la comprendre.

Les réflexes face aux incidents de sécurité « classiques » (déployer des signatures antivirales, réinstaller des serveurs…) sont donc aujourd’hui largement révolus. Il faut adopter une approche dynamique de la crise, s’intéresser à son objectif métier et utiliser les erreurs des attaquants pour être plus pertinent, en pouvant même envisager des réponses « actives » à l’attaque. Un challenge pour les équipes de réponses à incidents, qui doivent adapter leurs méthodologies et leurs réflexes, mais un objectif crucial pour lutter contre ces attaques

Cet article Cybercriminalité : savoir profiter des erreurs des attaquants est apparu en premier sur RiskInsight.

Un besoin de défense active …

Aujourd’hui, des attaques de plus en plus sophistiquées touchent tous les secteurs d’activité et ciblent des organisations spécifiques en utilisant des techniques toujours plus complexes. Ces attaques visent à contourner le périmètre de défense existant, mais également à persister sur le SI cible sans déclencher immédiatement l’attaque. Ainsi, l’attaquant améliore sa connaissance de la cible depuis l’intérieur pour lancer ensuite une attaque aux conséquences importantes pour les métiers (vols de données, destruction du SI, usurpation d’identité…).

L’exemple le plus marquant reste l’attaque Carbanak/Anunak, qui a visé plus d’une centaine d’établissements bancaires. Les attaquants se sont introduits discrètement dans le système via du spear phishing (mail malveillant ciblé et personnalisé) puis une série de rebonds. Ils s’y sont ensuite maintenus sur le long terme, observant patiemment les actions des opérateurs bancaires pendant plus d’un mois et demi. Les systèmes de surveillance des banques n’ont pas repéré les traces de persistance laissées par les attaquants, qui ont veillé à rester en dessous des seuils de détection. Une fois les procédures internes des banques identifiées, les attaquants ont pu détourner lentement mais sûrement plusieurs dizaines de millions de dollars.

Les stratégies traditionnelles de défense passive inspirées du modèle du château fort, c’est à dire visant à se protéger (fermeture des flux, antivirus, IPS, etc.), ne suffisent plus à elles seules, et ne sont pas adaptées pour répondre à ce type de menaces.

Il est ainsi devenu nécessaire d’accepter le caractère inévitable de l’intrusion et se préparer à y faire face. Dans cette optique, la défense active vise à détecter puis réduire l’efficacité ou supprimer une attaque.

… pour 3 niveaux d’intervention

En fonction de la portée des moyens utilisés par l’attaquant, on peut identifier plusieurs niveaux de réponse active :

1)     Répondre avec les moyens propres de l’entreprise

Les actions de réponse active visent ici à tromper l’attaquant ou encore le désinformer et collecter des informations sur ses méthodes.

Dans un premier temps, pour analyser les actions des attaquants de façon proactive on pourra utiliser des serveurs honeypot, qui simulent des serveurs d’importance accessibles afin d’y attirer les attaquants et de les surveiller, ou encore des clients honeypot, des clients volontairement vulnérables pour détecter les tentatives d’attaques telles que le waterholing ou le drivebydownload en les faisant naviguer sur les sites visités par les collaborateurs de l’entreprise.

Dans un second temps, pour duper et/ou ralentir l’attaquant on pourra renvoyer de fausses informations sur le système d’exploitation lorsque l’attaquant lance des scans, ou encore simuler de faux services (en utilisant Portspoof par exemple pour simuler des ports ouverts et des services factices capables d’interagir avec l’attaquant).

L’augmentation du temps de réponse de certains services par l’utilisation de techniques de type « tarpit » (seau de goudron) permet de gêner l’attaquant sans impacter les utilisateurs légitimes. De plus, on peut réduire la fenêtre d’attaque en restaurant régulièrement les serveurs web dans un état propre connu (SCIT server) de sorte à réduire la fenêtre de temps durant laquelle l’attaquant peut compromettre le serveur.

Dans le but d’épuiser les ressources et la motivation de l’attaquant, on pourra le tromper avec de fausses vulnérabilités sur un serveur web. Enfin, bloquer les adresses IP tentant d’appeler des ports inhabituels (Artillery) jugulera ses manœuvres d’expansion dans le réseau.

La défense active permet ainsi de comprendre les attaques, de les ralentir et d’épuiser les ressources de l’attaquant. Les informations ainsi obtenues permettent d’adapter et d’optimiser les moyens de défense traditionnels pour bloquer les attaques plus efficacement.

2)     Intervenir sur les moyens entre la cible et l’attaquant

Dans la chaîne de communication utilisée par les attaquants se trouvent un certain nombre d’acteurs : des FAI, des tiers compromis par l’attaquant, des hébergeurs, des noms de domaines malveillants, etc.

Il est possible d’intervenir sur les moyens intermédiaires utilisés par l’attaquant pour juguler l’attaque, en prenant contact avec les acteurs en charge de ces moyens. On pourra par exemple contacter les FAI en cas d’attaque DDoS, pour filtrer le trafic avant l’arrivée sur le SI de l’entreprise ou encore faire saisir les noms de domaines par décision de justice (par exemple pour démanteler un botnet).

On pourra également contacter un hébergeur pour faire fermer un site malveillant ou faire disparaitre le trafic en amont avec du DNS Sinkholing (faire pointer le trafic malveillant vers un domaine inexistant).

Ces actions permettent à la fois d’obtenir des informations de façon indirecte sur l’attaquant (compte utilisé pour acheter un nom de domaine malveillant, etc.) mais aussi de le ralentir et de le contrarier dans ses plans. De plus, elles doivent être anticipées – si possible – en créant des réseaux de contacts auprès des principaux fournisseurs ou équipes de réponse à incident, en particulier pour pouvoir agir rapidement à l’étranger.

3)     Contre-attaquer directement chez l’attaquant

Il est à noter que ce type de réponse est identifié comme illégal en France par la loi Godfrain de 1988 et plus particulièrement par les articles 323-1 et suivant du Code pénal traitant des atteintes aux systèmes de traitement automatisé de données.

Il est cependant intéressant de mentionner ces méthodes car elles peuvent être utilisées par d’autres pays où elles sont autorisées mais également par les forces de l’ordre dans un certain nombre de cas bien particuliers.

On peut distinguer deux types de réponse dans ce troisième niveau :

• les actions de réponse visant à recueillir des informations sur l’attaquant ;
• les actions de réponse visant à rendre inopérant les systèmes d’attaque directement chez le cybercriminel.

Dans le premier type de réponse on pourra mentionner l’envoi de fichiers « piégés », des fichiers balisés, capables de renvoyer un beacon dès lors que celui-ci est ouvert/copié dans un endroit inhabituel ou utiliser des failles de sécurité chez l’attaquant pour prendre le contrôle du serveur de commande et de contrôle (C&C) et identifier les données exfiltrées.

Dans le second type de réponse on peut penser à injecter du code malveillant dans un fichier exfiltré par l’attaquant et par la suite détruire logiquement ses systèmes, ou encore tenter de viser sa bande passante par un DoS ciblé. Finalement on peut envisager autant de scénarios que de canaux d’attaques.

Ces méthodes doivent être manipulées par les autorités compétentes afin de se conformer aux exigences légales.

Pour conclure, les mesures de défense active ne se résument pas uniquement à contre-attaquer directement mais bien à se doter de moyens permettant de mieux comprendre, détecter et réagir aux attaques. En complément des stratégies traditionnelles de défense, l’importance de la réponse active se révèle aujourd’hui un sujet en plein développement dans les équipes de réponse à incident les plus avancées. Le paradigme à garder en tête reste inchangé : toujours avoir un coup d’avance !

Cet article Défense active : répondre activement aux attaques cybercriminelles est apparu en premier sur RiskInsight.

Que sait-on de l’attaque contre TV5Monde ? Qui sont les attaquants ?

Le 8 avril au soir, les comptes de TV5Monde sur les réseaux sociaux diffusent des messages favorables à l’État Islamique. En parallèle, la chaîne arrête d’émettre et les téléspectateurs se retrouvent devant un écran noir. Dès le 9 avril au matin, de nombreux articles manquant de sérieux ont prétendu décrypter l’attaque en détail, et ont malheureusement été repris par de nombreux médias. Peu d’informations sont en fait disponibles publiquement à ce jour, et il faudra sans doute attendre les résultats de l’enquête pour en savoir davantage.

Cela étant, quelques éléments sont déjà connus avec un bon niveau de certitude. Tout d’abord, il s’agit d’une attaque préparée et coordonnée. De nombreuses sources évoquent un mail de phishing ayant piégé un ou plusieurs employés de la chaîne, permettant à des attaquant de prendre le contrôle de leur poste de travail, puis de rebondir à l’intérieur du système d’information. Les premiers comptes compromis ont peut-être été ceux des community managers de réseaux sociaux. Rappelons au passage que même un mot de passe très long et très complexe ne résisterait pas à cette méthode, puisque c’est l’utilisateur qui le « donne » à l’attaquant sans le savoir.

Une fois que les attaquants ont réussi à atteindre les serveurs assurant le multiplexage et permettant d’interrompre la diffusion. Ils ont lancé toutes les actions malfaisantes en parallèle : réseaux sociaux et diffusion. Ces éléments laissent à penser que l’attaque a nécessité une équipe de réalisation composée de plusieurs personnes et compétences. Attention toutefois à une attribution de l’attaque trop hâtive : elle pourrait effectivement avoir été menée par un groupe idéologique, mais elle pourrait également avoir été commanditée à un groupe de « cyber mercenaires » avec une unique motivation financière.

S’agit-il d’une attaque exceptionnelle ?

De ce que l’on sait aujourd’hui, l’attaque n’est pas extraordinaire par son mode opératoire. Les attaquants ont probablement suivi le schéma classique : une phase de reconnaissance, puis d’intrusion, et enfin de propagation jusqu’à atteindre les systèmes ciblés. Son objectif, une destruction à visée idéologique, n’est pas nouveau non plus en soi.

On ne peut pas parler de « cyberguerre » à ce stade, mais plutôt de « cyber-vandalisme », comme l’a fait Barack Obama pour le cas Sony Pictures fin 2014. Si l’attaque a été exceptionnelle, c’est surtout par sa couverture médiatique : tous les médias généralistes ou presque en ont parlé (chaînes télévisées, journaux papiers et web, magazines), en France comme à l’international.

À cela, il y a plusieurs explications. D’une part, l’aspect symbolique et très visible de l’attaque : TV5Monde est une chaîne francophone, diffusée partout dans le monde. Elle porte donc indirectement l’image de la France, et se retrouve au milieu d’une guerre médiatique. D’autre part, l’impact de l’attaque : la chaîne a arrêté d’émettre ses programmes, ce qui est son principal métier. Cela a créé une frayeur dans beaucoup de médias, qui redoutent d’être les prochaines victimes et ont donc tenté de comprendre l’attaque.

Les médias vont-ils devenir une cible privilégiée pour les pirates ? Y a-t-il un moyen pour eux de se prémunir contre ce type d’attaque ?

L’essence d’un média est sa visibilité, ce qui en fait une cible de choix pour qui veut diffuser un message de propagande idéologique. Il est donc aujourd’hui important pour les médias, comme pour beaucoup d’entreprises, de se préoccuper de leur sécurité informatique. C’est tout de même déjà bien souvent le cas, mais nous pouvons rappeler quelques priorités pour réduire la probabilité qu’une telle attaque réussisse.

Tout d’abord, il faut systématiquement faire auditer les infrastructures informatiques exposées sur Internet, et bien sûr corriger les éventuelles faiblesses découvertes. Il est également nécessaire de sensibiliser les collaborateurs aux bonnes pratiques « d’hygiène » en sécurité informatique, en portant une attention particulière aux utilisateurs disposant de données ou de droits particuliers (tels que les community managers de réseaux sociaux, les administrateurs informatiques, et les dirigeants).

Enfin, l’affaire TV5Monde a mis en exergue un point intéressant à garder à l’esprit : il est vital que la cybersécurité soit un domaine de collaboration entre entreprises, et non de compétition ! En particulier, le partage des IOC (indicateurs de compromission permettant de détecter les traces d’une attaque) entre entreprises du même secteur devient une priorité. C’est l’un des axes que l’ANSSI promeut auprès des différents acteurs et qui a été mis en oeuvre lors de cette attaque.

Après une chaîne de télévision, qu’est-ce qui empêche l’attaque d’infrastructures plus critiques de notre pays ?

Les spécialistes de la sécurité n’ont pas découvert l’existence d’attaques avec celle de TV5Monde, loin de là. Des entreprises aux activités sensibles sont attaquées tous les jours, parfois avec succès : ce risque est connu ! C’est bien pour cela que les sociétés concernées travaillent depuis des années sur leur sécurité informatique, et que le sujet est pris de plus en plus au sérieux par les directions générales.

Par ailleurs, l’état se donne aujourd’hui les moyens de sécuriser les infrastructures informatiques les plus sensibles : d’importants budgets sont mis en œuvre pour protéger les services étatiques et accompagner celle des entreprises (Opérateurs d’Importance Vitale en particulier), voire leur imposer dans certains cas.

Une attaque n’est bien sûr pas exclue, et il faudrait idéalement pouvoir en faire davantage sur le sujet de la cybersécurité. Mais la situation va dans la bonne direction et il est important de rester rationnels suite à l’attaque contre TV5Monde, tout en continuant les efforts de sécurisation.

Cet article TV5Monde : une cyberattaque de grande ampleur… médiatique ! est apparu en premier sur RiskInsight.

Indubitablement, nous sommes entrés dans l’ère des cyberconflits

Les incidents cyber ont beaucoup occupé l’espace médiatique ces dernières semaines.
Le piratage de Sony a pour sa part marqué un tournant dans la portée des attaques informatiques. Celui-ci a détruit la quasi-totalité du système d’information de l’entreprise et a contraint ses employés à revenir au papier et au crayon pour travailler. Une vaste partie des données internes de l’entreprise a également été mise en pâture sur Internet. Jusqu’alors, le but de telles attaques était généralement de dérober des capitaux ou des secrets industriels. Mais dans ce cas, l’objectif était clairement de mettre l’entreprise à genoux. L’affaire a d’ailleurs pris un tournant politique, les États-Unis ayant ouvertement accusé la Corée du Nord de l’attaque.

Les conflits cyber entre États sont largement répandus aujourd’hui. En 2007, des sites du gouvernement, de banques, médias et opérateurs téléphoniques estoniens ont été victimes d’attaques par déni de service. La Russie est fortement soupçonnée d’être à l’origine de ces offensives ayant paralysé le pays. En 2013, ce sont les systèmes d’information de banques et de chaînes de télévision sud coréennes qui ont été bloqués par des attaques émanant de Corée du Nord. Plus récemment, l’opération djihadiste #OpFrance, qui visait à défacer un maximum de sites français, a montré à tous que désormais les conflits se propagent également dans le monde virtuel.

Pour le département de la Défense des États-Unis mais aussi pour le Ministère de Défense en France, le cyberespace est d’ailleurs devenu un cinquième domaine d’intervention, après l’air, la terre, la mer et l’espace. L’espace cyber est donc clairement devenu un terrain de luttes permanentes…mais ces affrontements peuvent-ils être considérés comme des actes de guerre ?

Qu’est-ce que la cyberguerre ?

L’importance d’une définition précise du terme de « cyberguerre » n’est pas uniquement d’ordre linguistique. Derrière cette notion se cache un ensemble de questions juridiques et diplomatiques complexes. L’état de guerre impose en effet l’application de régimes légaux et de règles de rapports mutuels entre États bien spécifiques. Dans le cas de l’attaque contre Sony, Barack Obama a fait redescendre la tension en précisant qu’il ne s’agissait pas d’un acte cyberguerre mais plutôt de « cybervandalisme ». Et cette nuance n’est pas dénuée d’importance : en cas de guerre avérée, les clauses des contrats d’assurance auraient empêché toute indemnisation de l’entreprise !

La question de la contre-attaque se pose également : à partir de quand est-elle autorisée, et quelles formes peut-elle prendre ? Quels objectifs peuvent légitimement être visés par des cyberattaques ? Ce sont précisément les questions auxquelles a tenté de répondre en 2012 le Centre d’excellence de cyberdéfense coopérative de l’OTAN (CCDCOE) de Tallin, en publiant un manuel juridique de cyberguerre. La position défendue est que de manière générale, le Droit des conflits armés établi lors des conventions de La Haye et de Genève s’étend au monde cyber.

Une attaque informatique pourrait donc constituer un acte de guerre si ses conséquences sont comparables à celles d’un conflit armé traditionnel, c’est-à-dire si son but est de « de blesser ou tuer des personnes, ou d’endommager ou détruire des objets ». Cela signifie qu’une cyberattaque serait un acte de guerre à partir du moment où elle a des répercussions directes sur le monde physique.

Et c’est précisément le cas des attaques contre les systèmes d’information industriels, qui pilotent les systèmes de production de grands groupes manufacturiers, ou des infrastructures telles que des réseaux électriques ou des barrages. De telles agressions pourraient avoir un lourd coût humain et environnemental, et c’est pourquoi les États imposent souvent des mesures de sécurité strictes à leurs Opérateurs d’Importance Vitale (OIV) ou aux sites dangereux classés Seveso. En France, les travaux en cours sur la Loi de Programmation Militaire visent à préciser ces exigences. Le manuel entend également fixer des limites éthiques à la cyberguerre. Il préconise par exemple l’interdiction d’attaquer des hôpitaux ou des centrales nucléaires.

Attaques de SI industriels

Les rédacteurs du manuel de Tallinn estiment qu’« aucun incident n’a été de façon claire et publique caractérisé par la communauté internationale comme ayant atteint le seuil d’une agression armée ». Pourtant, les attaques contre les systèmes d’information industriels sont aujourd’hui une réalité. En 2013 par exemple, des pirates se sont introduits sur le réseau de production d’une aciérie allemande et ont détruit plusieurs équipements en arrêtant les hauts fourneaux de façon inopinée.

Mais c’est sans conteste l’infection de systèmes de contrôle de turbines et de centrifugeuses d’enrichissement en uranium iraniennes par le ver Stuxnet qui ressemble le plus à un acte de cyberguerre. Ce malware d’une complexité inédite aurait été mis au point par Israël et par les États-Unis, et a considérablement retardé le programme nucléaire iranien. Si le CCDCOE ne considère pas cette attaque comme un acte de guerre, les experts sont divisés sur la question et certains considèrent qu’il s’agit d’un recours à la force illégal selon le droit international.
Par ailleurs, les principes de proportionnalité des contre-attaques et de protection des populations civiles préconisés par le droit international sont difficiles à respecter en cas de cyberguerre. Les attaques sont généralement difficiles à confiner : dans le cas de Stuxnet, le ver a été retrouvé en Chine, en Allemagne et en Indonésie.

Certains considèrent qu’une nouvelle législation est à mettre en place pour cadrer les affrontements cyber. Le sommet de l’OTAN au Pays de Galles en 2014 a d’ailleurs fait ressortir des positions différentes de celles défendues dans le guide de Tallinn. Il a été affirmé que « les cyberattaques peuvent atteindre un seuil susceptible de menacer la prospérité, la sécurité et la stabilité des États et de la zone euro-atlantique [et] leur impact sur les sociétés modernes pourrait être tout aussi néfaste que celui d’une attaque conventionnelle ». Comment en effet ne pas parler de guerre dans le cas d’une attaque d’une place financière, qui pourrait provoquer une crise économique aux conséquences catastrophiques ?

Ces désaccords montrent à quel point les limites restent floues. Les lois internationales sont généralement dictées par la conduite et par les réactions des États : les véritables règles de la cyberguerre mettront du temps à être établies et risquent d’évoluer avec le temps. Quoi qu’il en soit, nous observons dès à présent que les Systèmes d’Information d’importance vitale seront des cibles privilégiés de ces conflits nouveaux. La mise en œuvre de stratégies de cyberdéfense apparaît donc comme un impératif pour les entreprises et les États, qui ne doivent pas attendre la survenue d’une véritable cyberguerre pour se protéger.

Cet article Sommes-nous entrés dans l’ère des cyberguerres ? est apparu en premier sur RiskInsight.

Les initiatives posent la question de la sécurité de l’information

Un système de transports intelligents, quel qu’il soit, permet de diffuser et partager de l’information, de la traiter de manière autonome et intelligente. Les objectifs de telles évolutions ? Ils sont multiples : optimiser la gestion de trafic, améliorer la sécurité routière, aider à développer la multi-modalité, etc.

De tels usages nécessitent l’échange de nombreuses informations, entre les véhicules, ou entre les véhicules et les infrastructures routières : vitesse, positionnement GPS, changement de trajectoire, alertes sur le trafic… Protection des données à caractère personnel, préservation de l’intégrité des informations, disponibilité des dispositifs qui concourent à la sécurité routière : les enjeux de sécurité de ces informations ressortent clairement comme essentiels pour que la voiture connectée de demain donne confiance aux usagers.

Ces transformations font aujourd’hui l’objet de réflexions de standardisation et de normalisation menées par divers groupes de travail (l’ISO, la Commission européenne de normalisation,  et l’ETSI – European Telecommunications Standards Institute). Ces organismes mènent des réflexions qui portent par exemple sur les formats de messages à utiliser, les canaux de communications envisageables (Wi-Fi véhiculaire, réseaux cellulaires ou réseau satellite) ou la sécurisation des protocoles de communication.

En complément, de nombreux consortiums européens (Drive C2X, CAR2CAR, FOTsis) mènent des réflexions sur le déploiement de systèmes routiers collaboratifs. Certains d’entre eux peuvent intégrer le sujet de la sécurité de l’information.

Si ces réflexions portent sur un périmètre plus ou moins large, mener un projet lié aux voitures connectées implique de revenir sur les usages et d’identifier les risques puis les mesures de sécurité à mettre en place sur l’ensemble des briques du dispositif : la voiture, les bornes, les systèmes d’informations du gestionnaire, etc.

Focus sur le véhicule : la prise de contrôle par un hacker est-elle réellement possible ?

Les attaques informatiques sur des systèmes embarqués de véhicules ne sont pas une nouveauté en soi. Des démonstrations d’attaques ont été réalisées par manipulation physique des boîtiers. Mais aujourd’hui il est indispensable d’intégrer la dimension communicante du véhicule, et donc la capacité à prendre le contrôle à distance. En effet, les voitures ont historiquement été conçues pour fonctionner en système fermé, sans ou avec très peu d’interactions avec le monde extérieur. La multiplication des connexions des véhicules avec le monde extérieur constitue de nouvelles surfaces d’attaque.

Le « car hacking » est donc possible, et pour la sécurité de l’information dans les véhicules de demain, les constructeurs intègrent la cybersécurité dans les réflexions sur l’architecture technique du véhicule avec notamment la mise en œuvre d’un cloisonnement entre les réseaux de fonctionnement liés au système de conduite (freinage par exemple) et les réseaux liés « aux médias » et à la sécurisation du boîtier de communication.

Au-delà des projets en cours, comment anticiper la « smart security » dans le transport routier ?

Si le sujet est innovant, la démarche de sécurité est en somme « classique » : intégrer la sécurité dans toutes les phases du projet ! Il s’agit d’un point essentiel pour mener la réflexion sur l’ensemble des briques. Dans un premier temps, analyser les usages et donc les besoins de sécurité. Ensuite, comprendre les fonctions, l’architecture de sécurité et donc les menaces et vulnérabilités. Puis, en fonction des risques, les mesures de sécurité à mettre en place puis à maintenir doivent être définies qu’elles soient techniques ou organisationnelles.

Une spécificité néanmoins liée au caractère innovant : mener une veille permanente sur le sujet. Quels nouveaux projets peuvent présenter des adhérences ? Quels nouveaux standards ? Quels travaux des chercheurs sur les vulnérabilités, sur les solutions ? Quels consortiums, groupes de travail portent une réflexion sur une brique ? Le secteur est en pleine transformation, et son évolution doit donc être suivie.

Cet article Voiture connectée : quels enjeux de sécurité de l’information ? est apparu en premier sur RiskInsight.

Retour sur l’attaque Target : 40 millions de données bancaires subtilisées

Entre le 27 Novembre 2013 et le 15 Décembre 2013, Target s’est fait subtiliser plus de 40 millions de données bancaires, auxquelles s’ajoutent 70 millions de données personnelles. La méthode d’attaque est classique, mais bien exécutée : les attaquants ont en premier lieu piraté un sous-traitant du distributeur chargé de la surveillance à distance des systèmes de chauffage et de climatisation. Le système de facturation externe de Target auquel le sous-traitant (et donc les attaquants) avait accès n’étant pas complétement isolé du réseau interne, les cyber-criminels ont réussi à s’y infiltrer, à voler 70 millions de données personnelles, et à installer un logiciel malveillant sur quelques  terminaux de paiements. Après des tests concluants sur les magasins concernés, ils ont décidé, peu avant Noël où l’affluence est la plus forte, de déployer leur malware sur la plupart des terminaux de paiements des magasins du territoire américain.

Les motivations des attaquants sont purement financières. En effet, une donnée personnelle se vend sur le marché noir entre  0,25$ et 2$ environ, tandis qu’une donnée bancaire peut rapporter plusieurs dizaines de dollars. Les gains sont donc potentiellement colossaux pour les attaquants !

Quel coût pour Target ?

Ponemon Institute annonce dans son rapport de 2013 un coût moyen de 130$ par donnée subtilisée, ce qui nous amènerait dans le cas de Target à un montant de plus de 14 milliards de dollars ! Il est cependant très peu probable dans ce cas que de tels montants soient atteints… quoique.

Les conséquences financières de l’attaque pour Target sont multiples. Hormis la perte de clientèle suite à la médiatisation de l’incident, Target a dû faire face à de nombreux coûts : frais d’expertise technique pour colmater la brèche, frais de notification, frais de credit monitoring… et devra faire face à de nombreux autres : amendes règlementaires, procès…

Target a récemment déclaré avoir dépensé 61 millions de dollars pour le moment suite à l’attaque. Ce montant, a priori assez faible au regard de l’importance de la crise (rien que les coûts de credit monitoring devraient dépasser ce chiffre, sans compter les frais de notification), est dans tous les cas assez loin du coût final. En effet, s’il est prouvé que Target n’était pas en conformité avec le standard PCI-DSS au moment de l’attaque, le distributeur peut encourir une amende de 90$ par donnée bancaire, soit 3,6 Md$. De plus, les banques tenteront dans ce cas de se faire rembourser la réémission des dizaines de millions de cartes reconstruites ainsi que les fraudes associées, tandis que les individus touchés intenteront probablement une class-action (procès collectif) à l’encontre de Target…

Et la cyber-assurance dans tout ça ?

C’est là que la cyber-assurance prend tout son sens, en indemnisant une partie non négligeable de ces coûts. La cyber-assurance prend en effet en charge les frais suivants :

Target a déclaré que sur les 61 millions de dollars dépensés, 44 ont été pris en charge par la cyber-assurance, l’ensemble des garanties souscrites par Target s’élevant à 165 M$ environ.

Cependant et il est important de le noter, la cyber-assurance ne couvrira pas la perte de clientèle et la chute du cours de l’action en bourse, qui restent des impacts importants mais difficilement chiffrables.

Il convient également de remarquer que l’attaque en question touche les terminaux de paiements, soit le SI « métier » qui peut parfois faire l’objet d’exclusions dans les contrats de cyber-assurance. Il est donc primordial de tester sa couverture via des scénarios d’attaques concrets.

La difficulté d’estimer le coût d’un scénario catastrophe et des garanties nécessaires

Pour traiter ce type de risque, la cyber-assurance peut donc avoir un rôle à jouer. Cependant, le montant de garantie à souscrire n’est pas simple à déterminer. Il influe directement sur le montant de la prime annuelle à payer par l’assuré, il faut donc trouver le juste milieu entre garantie et coût. Pour ce faire, une analyse détaillée des coûts par scénario peut être menée. Celle-ci permettra d’estimer le montant de garantie complémentaire nécessaire, une fois déduites les garanties des éventuelles autres assurances couvrant une partie du risque : Responsabilité Civile, Tous Risques Informatiques…

Mais ces estimations peuvent amener à des chiffres astronomiques, dépassant allègrement les 500 à 600 millions d’euros pour des acteurs B2C d’ampleur. Le coût de l’assurance en regard est alors élevé, mais judicieux au vu de la multiplication des incidents actuellement. Des grandes entreprises n’hésitent plus à investir 1 million d’euros par an pour ce type de contrat. Les capacités du marché français sont d’ailleurs en constante augmentation, atteignant aujourd’hui jusqu’à 500 millions d’euros de garanties par police d’assurance.

Mais attention à ne pas faire ces dépenses au détriment de l’augmentation du niveau de sécurité de l’entreprise. Car l’assurance n’empêche pas l’incident ! Le cas Target montre bien que des signaux d’alertes ont été ignorés.

Target apparait donc comme une illustration parfaite du rôle de la cyber-assurance dans le cas d’une cyber-attaque majeure. Cependant, un travail non négligeable d’estimation des coûts est nécessaire pour déterminer le montant de garantie à souscrire, afin d’optimiser le montant de la prime annuelle. Et ceci sans oublier de protéger son système d’information des menaces cybercriminelles de plus en plus pointues !

Cet article Target 6 mois plus tard, quel retour sur la cyber-assurance ? est apparu en premier sur RiskInsight.

 Les données clients : un nouvel or numérique convoité

Quel que soit leur secteur, toutes les entreprises sont aujourd’hui exposées à la cybercriminalité. Certaines redoutent le vol de secrets industriels ou encore l’indisponibilité de leurs systèmes, mais ils partagent une crainte commune: le vol de données personnelles de clients, collaborateurs, prospects, partenaires…

Cette richesse des entreprises est particulièrement convoitée par certains cybercriminels, appâtés par le gain financier qu’elles peuvent représenter. En effet, sur les marchés parallèles, les données peuvent se monnayer jusqu’à plusieurs dizaines de dollars par enregistrement…

 Des obligations réglementaires et légales qui vont se renforcer

Les initiatives se multiplient pour protéger ces données et la vie privée des individus face à ces nouvelles menaces. La loi informatique et libertés, mise à jour en 2004, vise depuis de nombreuses années à protéger les libertés individuelles et les données à caractère personnel de traitement illicites.

Elle a été complétée en août 2011 par le Paquet Télécoms, qui a renforcé les obligations des opérateurs de télécommunications dans ce domaine en imposant notamment la notification des violations des traitements de données à caractère personnel aux victimes. En ligne de mire, permettre aux abonnés de connaître les risques qu’ils courent quand la sécurité de leurs données est en cause. Des premières notifications de faible ampleur ont déjà eu lieu. Cette obligation sera étendue à tous les secteurs avec le projet de règlement européen qui devrait être publié en 2014 ou début 2015.

Mais au-delà de la protection de la vie privée, les attaques sur les infrastructures critiques des états inquiètent également la France et plus largement l’Europe. Deux textes sont attendus pour y remédier : un texte français imposant aux Organismes d’Importance Vitale (OIV) un certain nombre d’exigences de sécurité et de notification, audit… et un texte européen définissant des sanctions minimales pour punir les cyberattaques. Attendus dans les prochains mois, ces textes doteront les états et les entreprises de nouvelles armes pour lutter contre la cybercriminalité.

Entre totale transparence et protection des intérêts de l’entreprise, quel équilibre ?

Ces derniers mois, de nombreuses entreprises ont révélé avoir été victimes de piratages : Apple, Ubisoft, OVH… L’enjeu de ces communications ? Prévenir les clients que la sécurité de leurs données a été remise en cause, pour leur permettre de prendre les actions adaptées. Bien souvent, il s’agit d’un changement de mot de passe sur le service, qui peut signifier pour  l’utilisateur un changement sur l’ensemble des services pour lequel il utilise le même mot de passe !

Il est intéressant d’observer les différences entre les notifications et ce que cela révèle sur la relation client des entreprises. OVH,  par exemple a fait preuve d’une grande transparence technique – ce qui est logique vus ses clients et leurs attentes. Apple, cohérent avec ses habitudes de communication, a été assez lapidaire dans les informations délivrées et a prévenu les utilisateurs plusieurs jours après l’arrêt du service. Ils n’ont mis en ligne qu’une page permettant de suivre la remise en service des différents sites touchés.
Ubisoft  a, quant à lui, eu une approche plus classique, proche de celles des grands acteurs du web qui ont connu des situations similaires (LinkedIn, Evernote…). Cependant, le groupe français a connu des soucis de surcharge de ces serveurs au moment de la communication des emails. Cela montre la nécessité et l’obligation de préparation face à ces évènements qui peuvent survenir à tout moment.

Et si les réglementations en place aujourd’hui imposent à ceux à qui elles s’appliquent une notification sans délai aux autorités et au plus tard dans les trois jours aux personnes, une question essentielle peut alors se poser : révéler les détails de l’attaque et les actions de sécurisation décidées ne peut-il pas permettre aux attaquants de poursuivre l’attaque en connaissance de cause ? Il s’agit dès lors d’une décision à peser soigneusement, en considérant à la fois les risques techniques et les risques réglementaires.

 Se préparer à notifier ses clients, sans attendre les obligations réglementaires

L’enjeu est donc aujourd’hui de se préparer à notifier ses clients d’une violation de traitement de données personnelles. Un projet qui concerne réglementairement les opérateurs télécommunication, mais plus largement toutes les entreprises qui veulent préserver leur relation client et leur image !

Si les attaques ne peuvent être anticipées précisément, un cadre de stratégie de notification peut dès maintenant être élaboré en associant juristes, RSSI, DSI et direction marketing pour élaborer les processus et procédures de notification, le plan de communication et la logistique associée. Et rien de tel qu’un exercice de gestion de crise pour tester ces processus !

Cet article Notification des fuites de données clients : vers une transparence systématique ? est apparu en premier sur RiskInsight.

De nouvelles formes d’attaques

Au fil des années, les débits internet ont augmenté, les performances des équipements et la répartition des charges également ; l’attaque DDoS historique visant à submerger une victime par de multiples requêtes ne suffit plus.

De ce fait, les attaques se diversifient, deviennent « plus intelligentes » et plus complexes à éviter. On distingue alors deux grandes familles :

• Les attaques volumétriques : elles visent à submerger des équipements ou liaisons stratégiques afin de les rendre indisponibles. La nouveauté est qu’elles s’opèrent tant sur la couche réseau (TCP SYN flood…) qu’applicative (par exemple HTTP GET floods…) pour épuiser les ressources des serveurs exposés sur internet.

• Les attaques « par saturation de tables d’état » : plus astucieuses, ces attaques ne requièrent pas nécessairement un grand nombre de ressources attaquantes. Leur principe est d’utiliser les limites des protocoles de communication pour commettre des méfaits. Elles visent également les couches réseau (Slow attacks…) et applicative (Slowloris…). Elles s’avèrent très efficaces et malheureusement difficiles à contrer au vu de leur comportement a priori bénin.

Pour ces deux familles, les attaques visant la couche applicative resteront de loin les plus difficiles à détecter. En effet, considérées comme des flux réseaux légitimes, elles ne pourront pas être arrêtées par les équipements de protection classiques comme les pare-feux. Une sécurité proche de la couche applicative sera donc nécessaire, en utilisant par exemple des équipements de type Web Application Firewall (WAF) ou des solutions spécifiques anti-DDOS…

Des conséquences bien réelles pour les entreprises

En cas d’attaques DDoS, l’entreprise ciblée doit faire face à des conséquences importantes.

À la fois visibles et immédiates, les conséquences directes d’une attaque DDoS recouvrent par exemple l’indisponibilité de services cruciaux (site de vente en ligne, plateforme partenaire…) entrainant une perte financière évidente, le dysfonctionnement des processus métiers mais aussi l’atteinte à l’image due à la médiatisation de l’évènement.

Moins immédiates, les conséquences indirectes n’en sont pas moins importantes : une attaque DDoS peut également être un moyen de diversion permettant d’établir une attaque ciblée plus évoluée. En effet, en jouant un rôle de « bélier » visant la mise à mal des moyens de protection du SI, une intrusion deviendra plus facile… Les attaques commises contre les sociétés RSA ou Sony en sont des exemples criants.

Comment se protéger contre ces attaques de plus en plus courantes ?

Au vu de leurs impacts immédiats et visibles de tous, les DDoS deviennent un des outils attitrés des cybercriminels. Parallèlement, en pleine montée de l’hacktivisme, des outils automatisés et simples d’usage ont fait leur apparition sur Internet (notamment « LOIC », utilisé par les Anonymous). Ces nouveaux services « clé en main », peu coûteux, ont permis une démocratisation des attaques par déni de service ; elles deviennent aujourd’hui accessibles à tout un chacun.

Après les nombreux évènements de l’année 2012 et la récente attaque record contre Spamhaus, les DDoS représentent aujourd’hui une menace évidente. La question de la « protection anti-DDoS » entre donc au cœur des décisions SSI pour l’ensemble des grandes entreprises à risque. Mais comment se protéger ? …

Cet article DDoS, les attaques se diversifient ! est apparu en premier sur RiskInsight.

HTTPS ou le règne de “la confiance aveugle”

Lorsqu’un utilisateur se connecte à un site internet via le protocole chiffré HTTPS, c’est le protocole SSL (Secure Socket Layer) qui se charge du chiffrement. Pour ce faire, des mécanismes de cryptographie asymétrique sont employés.

Le navigateur web de l’utilisateur va tenter de vérifier l’identité du serveur auquel il se connecte. Pour cela, le serveur présente au navigateur un certificat X.509, contenant notamment sa clé publique et une signature. Le navigateur va alors vérifier la validité de la signature, puis utiliser la clé publique afin d’échanger une clé de session qui sera utilisée pour chiffrer l’ensemble des communications de manière symétrique.

Le navigateur vérifie ensuite la validité de la signature en s’assurant de l’existence d’une chaîne de confiance (chain of trust) entre le certificat et l’une des autorités de certification de confiance. Qui sont ces autorités de confiance ? C’est en tentant de répondre à cette question que l’on réalise la fragilité du système actuel.

Pour que le navigateur accepte la connexion, il va remonter la chaîne de confiance jusqu’à l’autorité de confiance racine et s’assurer que celle-ci est présente dans le magasin de certificats.

Le navigateur Firefox, par exemple, dispose de son propre magasin de certificats auxquels il fait confiance. D’autres, comme Internet Explorer ou Chrome, se basent sur le magasin de certificats du système d’exploitation.

Et par défaut, ces magasins regorgent d’autorités de certification, de tous pays ! Le navigateur Firefox en compte plus d’une centaine.

Il suffit donc qu’une seule de ces autorités de certification délivre, par erreur ou plus vraisemblablement suite à une attaque, un certificat valide pour “*.google.com” pour que des attaquants puissent mener une attaque de type Man-in-the-Middle. En se faisant passer pour un serveur légitime de Google, ils pourront intercepter et déchiffrer les échanges entre le navigateur et le serveur… Cette menace ne relève malheureusement pas du domaine de la science-fiction, comme le prouve l’exemple de Diginotar en 2010.

De plus, dans le cas d’échanges d’informations stratégiques, la menace étatique doit être prise en compte. Que se passerait-il si le gouvernement d’un pays demandait à l’une des autorités de certification de ce pays, faisant partie de la liste des autorités de confiance racine de Firefox, de signer un certificat valide pour mail.google.com ? Cette société serait-elle en position de refuser, ou de communiquer à ce sujet ? La réponse est, sans doute, non ; dans ce cas, le navigateur accepterait le vrai-faux certificat et n’afficherait aucune alerte à l’utilisateur.

Limiter la confiance dans les autorités de certification

Afin de se prémunir des deux scénarios envisagés, il est possible d’utiliser le protocole SSL d’une autre façon, en créant une association entre le nom de domaine d’un site (www.google.com) et le certificat ou l’autorité de certification attendus. Ainsi, seul le certificat attendu ou un certificat signé par l’une des autorités de certification attendues sera accepté et une alerte sera levée si un autre est présenté.

Il est alors nécessaire de disposer d’un référentiel de ces associations (site internet / certificat) valides, ou de le construire au fur et à mesure de la navigation sur les sites. Malheureusement, ce type de mécanisme n’est pas réellement pris en compte par les navigateurs. Il peut cependant se faire au moyen de modules additionnels, comme Certificate Patrol pour Firefox.

Google Chrome réalise déjà une validation de ce type, pour un nombre limité de sites. Le fichier qui contient la liste blanche des sites pour lesquels HSTS est activé par défaut contient également la liste des sites pour lesquels le pinning est activé :

{
   "pinsets": [
 […]
     {
       "name": "google",
       "static_spki_hashes": [
         "VeriSignClass3",
         "VeriSignClass3_G3",
         "Google1024",
         "Google2048",
         "GoogleBackup1024",
         "GoogleBackup2048",
         "EquifaxSecureCA",
         "GeoTrustGlobal"
       ],
       "bad_static_spki_hashes": [
         "Aetna",
         "Intel",
         "TCTrustCenter",
         "Vodafone"
       ]
     },

[…]

"entries": [
     // Dummy entry to test certificate pinning.
     { "name": "pinningtest.appspot.com", "include_subdomains": true, "pins": "test" },

     // (*.)google.com, if using SSL, must use an acceptable certificate.
     { "name": "google.com", "include_subdomains": true, "pins": "google" },

Extrait du fichier transport_security_state_static.json

Google Chrome va donc vérifier, lors de la connexion à un site du type “google.com”, que le certificat est valide et qu’il est signé par une des autorités de certification autorisées. Il semblerait de plus que cette information soit remontée aux serveurs de Google : c’est ainsi qu’a pu être découvert et rendu publique le cas du certificat intermédiaire distribué par Turktrust.

L’utilisation du pinning est la plupart du temps observée dans le cas d’applications mobiles, puisqu’il est alors facile pour le développeur d’inclure le certificat attendu dans le paquet de l’application. Pour les navigateurs internet, seul le recours aux modules additionnels est possible, à moins de modifier le fichier source en extrait ci-dessus et de recompiler, ce qui n’est sans doute pas la solution la plus simple.

L’OWASP a récemment publié une cheatsheet, ainsi qu’un article plus détaillé, sur la mise en œuvre technique du pinning, notamment dans le contexte du développement d’applications mobiles.

Bien que difficile à généraliser, l’utilisation du pinning semble une évolution logique pour répondre aux risques liés aux hiérarchies de confiance. Cette initiative est à conseiller pour les systèmes bien maîtrisés, comme les applications mobiles et les VPN.

Pour le déploiement dans les navigateurs internet, il faudra malheureusement attendre que les principaux acteurs intègrent cette fonctionnalité. On pourrait imaginer, dans un contexte professionnel, pouvoir indiquer au navigateur de n’accepter que les certificats issus de la PKI interne pour les sites d’entreprise.

Cet article Épinglez vos certificats ! est apparu en premier sur RiskInsight.

Pourquoi a-t-on besoin de HSTS ?

Malheureusement, l’utilisation de HTTPS n’est souvent pas exclusive, ouvrant la voie à trois types de menaces :

• Attaques réseau passives sur des flux non-chiffrés

Il arrive fréquemment que seule une partie des requêtes au serveur web soient chiffrées, par exemple l’authentification. Une fois authentifié, les requêtes suivantes sont en clair. Un attaquant capable d’intercepter les flux réseau (sur un Wifi ouvert, au Starbucks, par exemple), pourra alors analyser les requêtes non-chiffrées, qui contiennent les cookies de session de l’utilisateur. Il pourra ainsi usurper son identité.

• Attaques réseau actives pour détourner le trafic et l’intercepter

Il n’est pas rare de rencontrer des sites proposant une connexion sécurisée mais également une connexion HTTP traditionnelle. Il est alors possible, pour un attaquant capable d’intercepter les flux réseau, de modifier à la volée les données envoyées par le site et de remplacer les liens « https://www.site.com » par des liens vers la version en clair « http://www.site.com ». Des outils permettent d’automatiser cette tâche, comme sslstrip : à nouveau l’attaquant pourra intercepter les cookies et usurper l’identité de la victime. L’attaquant pourrait aussi bien tenter de faire accepter à l’utilisateur un certificat invalide, afin de pouvoir déchiffrer les échanges SSL à la volée.

• Erreurs de développement

Il est également possible que, volontairement ou non, certaines requêtes soient effectuées en clair, par exemple pour charger des images ou un contenu vidéo. Si les images sont hébergées sur le même serveur, les cookies seront envoyés avec la requête et là encore, l’attaquant pourra dérober les cookies et usurper l’identité de la victime.

La solution proposée par HSTS : forcer l’utilisation de HTTPS

HSTS se propose de parer à ce type d’attaques en permettant aux sites web d’indiquer au navigateur qu’il ne doit accepter d’ouvrir que des liens HTTPS vers ce site.

Pour cela, un en-tête HTTP spécifique doit être envoyé au navigateur, qui n’acceptera alors que des liens https:// pour le site en question, et ce pour un temps donné.

De plus, si une erreur de validation de certificat survenait, le navigateur refuserait d’ouvrir la page en question ; en cas d’utilisation de HSTS, l’utilisateur n’a plus la possibilité de passer outre un message d’erreur de validation du certificat : voilà une avancée judicieuse ! HSTS permet donc un premier niveau de protection contre les attaques de type Man-in-the-middle (homme du milieu).

Implémenter HSTS en ajoutant les bons en-têtes

La syntaxe de l’en-tête HTTP est la suivante :

Strict-Transport-Security: max-age=XXX; includeSubDomains

Où :

• Strict-Transport-Security : indique l’utilisation de HSTS
• max-age= : définit la période durant laquelle le navigateur doit forcer l’utilisation de HTTPS, en secondes
• includeSubdomains : permet d’indiquer que la politique s’applique également à l’ensemble des sous-domaines ; cette directive est optionnelle

Dans le cas d’un serveur web Apache, il convient d’insérer les commandes suivantes dans la configuration du site :

Header set Strict-Transport-Security "max-age=XXX"

Header append Strict-Transport-Security includeSubDomains

Il est également conseillé de paramétrer la directive « max-age » de manière dynamique, de façon à la faire coïncider avec la date d’expiration du certificat

HSTS recommande également l’utilisation d’une liste prédéfinie de domaine HSTS par les navigateurs (comme Gmail, Facebook, etc …). Ainsi, on couvre le risque de la première connexion non-chiffrée.

Il est important de noter que les en-têtes HSTS ne sont pris en compte par les navigateurs que si le certificat présenté par le site est signé par une autorité de certification racine présente dans le magasin de certificats, excluant de fait le cas des certificats auto-signés.

Tous les navigateurs sont-ils compatibles HSTS ?

Les mécanismes HSTS sont supportés depuis plusieurs années par Chrome, Firefox et Opéra, qui intègrent désormais une liste par défaut de sites HSTS.

En revanche, les navigateurs Internet Explorer de Microsoft et Safari d’Apple sont à la traîne et n’implémentent pas encore ces protections.

HSTS apporte donc une avancée significative dans la sécurisation des échanges sur Internet, et ce de manière transparente pour le grand public. En imposant la sécurité (en ne leur proposant pas d’accepter un certificat invalide), on se prémunit d’un maillon faible, l’utilisateur, qui peut permettre la réalisation d’attaques de type man-in-the-middle comme ce fut récemment le cas pour le site Github en Chine.

Cependant, d’autres menaces subsistent : on pense notamment aux fréquentes faiblesses dans le choix des protocoles et algorithmes de chiffrement. De plus, la problématique des autorités de certification, qui sont garantes des identités sur internet, reste ouverte, comme le rappellent les cas de Diginotar ou plus récemment de Turktrust.

La sécurisation des échanges sur internet reste une problématique qui requiert de l’expertise dans son implémentation, ainsi que des contrôles réguliers pour assurer la confidentialité et l’intégrité des données échangées vis-à-vis des nouvelles menaces.

Cet article HTTP Strict Transport Policy, une avancée dans la sécurisation des échanges sur Internet ? est apparu en premier sur RiskInsight.

Un modèle de sécurité qui atteint ses limites

La protection des informations avec les moyens conventionnels (pare-feu, antivirus, correctif, contrôle d’accès…) comporte de nombreuses limites  ;  les attaquants les connaissent et surtout, savent les contourner efficacement. Les attaques par ingénierie sociale permettent d’accéder aux informations d’utilisateurs légitimes et ce malgré de nombreuses sessions de sensibilisation en entreprise, les failles « zero-day » permettent d’attaquer des systèmes même maintenus à jour, l’encapsulation ou encore le chiffrement de trafic qui permettent de traverser les pare-feux sans être inquiétés.

Doit-on pour autant baisser les bras et reculer face aux menaces? Non, certainement pas ! Il s’agit de réorienter ses efforts différemment, accepter les risques,  et se doter des moyens permettant de limiter l’impact des attaques. La détection des attaques et l’identification de réactions appropriées sont donc à prioriser pour 2013.

 Détecter et réagir : les priorités de 2013

Ce changement d’orientation nécessite de nombreuses évolutions, tant en termes technique qu’organisationnel. Il faut réfléchir à la mise en place de nouveaux moyens, internes ou externes, afin de mieux observer le SI et d’en tirer des alertes pertinentes. Nous pensons bien évidemment aux solutions de surveillance de journaux classiques mais pas uniquement ! De nouvelles solutions, spécialisées dans les analyses statistiques permettent d’obtenir des vues pour détecter les fameux signaux fiables relatifs aux attaques. D’autres produits permettent de détecter dans les flux de données des comportements étranges, en simulant l’ouverture des pièces jointes ou des fichiers. Même si cela peut paraître démesuré, certaines organisations ont mis en place ces solutions sur 2012 et en tirent aujourd’hui des bénéfices concrets.

Et comme l’outil ne résout rien seul, certains processus seront aussi à revoir, en particulier sur la surveillance du SI et la gestion de crise. La création, ou le renfort, d’une cellule dédiée en charge de ces problématiques, le fameux CERT ou SOC, pourra être une solution. Cette cellule sera à même de piloter les crises, de prendre les bonnes décisions pour limiter les impacts et d’empêcher les propagations.

Différents scénarios de crise sont à envisager en fonction du métier et de l’exposition : attaque en déni de service, vol d’information, défacement de site, vols de données sensibles, mais aussi et peut être surtout compromission du SI… Ils devront être testés par les équipes opérationnelles mais également les métiers et la direction générale, acteurs essentiels en cas d’attaques cybercriminels.

Bien évidemment, il n’est pas question d’abandonner toutes les mesures de protection. Bien souvent, elles retarderont la réussite de l’attaque, voire même sur certains périmètres très protégés et face à des attaquants de niveau intermédiaire, elles les bloqueront. Mais aujourd’hui, se baser uniquement sur une protection est illusoire, il est indispensable de revoir sa stratégie sécurité et en 2013 d’orienter sa réflexion vers la détection et la réaction !

Cet article Une nouvelle année pour une nouvelle stratégie sécurité : priorité à la détection et la réaction est apparu en premier sur RiskInsight.

Ce nouveau cas est en ligne avec ce que nous observons actuellement de manière plus globale et confirme deux grandes tendances : l’attaque a lieu en période de faiblesse du système d’information et la compromission des systèmes centraux est quasi systématique.

 Attaquer pendant une période de faiblesse

Le cas de l’Élysée montre que les attaquants savent tirer profit de l’actualité de leur cible. L’attaque de l’Élysée a eu lieu entre les deux tours, pendant une période de changement pour cette structure et par conséquent moment privilégié pour s’installer et se « cacher » dans le SI avant l’arrivée du nouvel occupant.

Il est courant pour les attaquants de viser les périodes de faiblesse des organisations. Une majorité d’attaque se déroule le week-end ou pendant les heures non ouvrées. Aujourd’hui la plupart des organisations ne disposent ni des moyens ni des équipes pour assurer un tel niveau de  protection et de surveillance. Et les attaquants le savent !

 Compromettre les systèmes centraux

On estime souvent qu’il faut protéger en priorité les serveurs métiers les plus critiques. Les attaques récentes montrent cependant que ce sont bien souvent les systèmes centraux de gestion du SI les cibles initiales des attaquants. Nous avons observé une majorité d’attaques sur l’Active Directory mais également sur d’autres éléments  tels que la télédistribution. Ces systèmes sont utilisés pour prendre le contrôle de l’ensemble du SI puis par rebond d’accéder aux serveurs métiers et aux précieuses informations qu’ils contiennent. Prendre pied à ce niveau autorise également une installation dans la durée et une capacité d’action sur l’ensemble des postes de travail de l’entreprise.

 Rester sur ses gardes et renforcer les processus d’administration

L’évolution des menaces nécessite de reposer certains fondamentaux de la protection. Les équipes sécurité doivent aujourd’hui se doter de moyens pour surveiller le SI et agir 24h sur 24. Si ce n’est possible pour les équipes internes, le recours à un service tiers couplé à une organisation d’astreinte permet de répondre au besoin. Cette surveillance, qui lorsqu’elle existe est souvent centrée sur la périphérie du réseau, doit se réorganiser pour ajouter les systèmes métiers sensibles et les services centraux.

Mais attention : la surveillance ne fait pas tout. Il est nécessaire d’éviter la compromission initiale et sur le volet des systèmes centraux, il reste beaucoup à faire ! En effet, les pratiques d’administration sont souvent génératrices de risques : multiplication des comptes administrateurs et des serveurs, utilisation de poste d’administration pour des usages personnels (messagerie, surf internet…), authentification simple et mot de passe partagé… Un audit sur ce périmètre révèle souvent bien des mauvaises surprises et nécessite d’ajouter une rigueur nécessaire vue la criticité des systèmes manipulés pour l’organisation.

Les attaques se suivent et bien souvent se ressemblent. Il est maintenant grand temps d’agir sur les zones les plus à risque et les retours d’expériences montre clairement où elles se trouvent !

Cet article Attaque du SI de l’Elysée : la confirmation de nouvelles tendances en matière de cybercriminalité ? est apparu en premier sur RiskInsight.

Flame est un virus ultra-sophistiqué, conçu comme une boîte à outil pour cyber-espion. Il permet de récupérer sur les ordinateurs infectés n’importe quel document : email, liste de contacts, de faire des copies d’écran, d’enregistrer le son ambiant mais aussi d’enregistrer les mots de passe tapés ou les conversations par chat. Il s’agit d’un virus particulier du fait de sa taille : plus de 20 Mo, ce qui le rend difficilement détectable. Ses fonctionnalités et sa complexité démontrent clairement qu’il a été conçu par des développeurs chevronnés, fonctionnant en équipe. Il faudra de nombreux mois avant que les chercheurs en sécurité ne soient capables d’en comprendre complètement le fonctionnement.

Il représente un risque sérieux, en particulier pour les entreprises et les infrastructures critiques des états. Les dernières annonces sont inquiétantes, en particulier sur l’usurpation des mécanismes de confiance de Windows Update. La découverte de Flame pousse même une agence des Nations Unis à lancer une alerte officielle aux différents états membres pour qu’ils prennent des mesures conservatoires. Cependant, bien qu’en circulation depuis plusieurs années, ce virus n’aurait touché qu’un millier de PC, principalement au Moyen Orient. Le parallèle avec le virus Stuxnet est certes frappant, mais il est trop tôt pour y voir un lien direct.

En parallèle, des informations sur l’origine du virus Stuxnet ont été révélées par la presse américaine ; doit-on voir les Etats-Unis et Israël derrière ce projet ?

Les informations circulant actuellement mentionnent une collaboration entre ces deux pays afin de viser le programme nucléaire iranien par le biais d’une cyberattaque. Les détails de cette histoire sont passionnants, comme l’explique l’article du New York Times. Ces révélations corroborent ce que les experts sécurité avaient envisagé : la complexité de l’attaque et ses particularités ne pouvaient être qu’une attaque ciblée en provenance de puissance étatique. L’attaque a été révélée au grand public car le code malicieux a échappé à son concepteur et s’est répandu plus largement que prévu.

Que préfigurent ces deux évènements ?

Elles démontrent clairement que les attaques deviennent de plus en plus ciblées. Dans le cas de Flame et de Stuxnet, des Etats sont à l’origine des attaques. Mais ce mouvement de ciblage touche aujourd’hui également les services financiers avec des attaques très précises sur les sites de banque en ligne, avec des malwares comme Zeux ou Torpig qui sont adaptés pour comprendre la logique des sites et modifier leurs attaques en fonctions, en y impliquant aussi les téléphones mobiles des clients. Ce ciblage se retrouve également dans les attaques contre les entreprises, où les pirates enquêtent par exemple par l’intermédiaire des réseaux sociaux et utilisent des moyens spécifiques, adaptés à leur cible, pour dérober des informations sensibles internes.

Il apparaît clairement que la menace se précise, qu’elle se professionnalise et que les attaquants sont en mesure de mobiliser moyens importants au vu les gains financiers qu’ils tirent des attaques.

Les entreprises et les grandes organisations doivent suivre le même chemin et augmenter leur niveau de sécurité en fonction de leurs enjeux, une refonte des modèles de sécurité est bien souvent nécessaire pour se recentrer sur les périmètres les plus critiques (cf tribune attaques ciblées).

Cet article Apparition de Flame et révélation sur Stuxnet, quelles conséquences pour la sécurité de l’information ? est apparu en premier sur RiskInsight.