La plupart des grandes failles de données en entreprise de ces dernières années ont été initiées par le vol d’une identité privilégiée. C’est en effet le procédé utilisé par les cybercriminels dans 7 des 10 derniers grands cas de faille de données, parmi lesquels l’attaque de JP Morgan en 2014, ou encore la désormais célèbre attaque des données de Yahoo.
Le vol d’identités privilégiées désigne la compromission des informations d’identification de comptes disposant d’accès larges au réseau, en vue de pénétrer de manière légitime dans le cœur du système informatique d’une entreprise pour collecter et exfiltrer des données, parfois en très grandes quantités. Ces comptes sont ouverts aux personnes dont le travail exige d’accéder à des éléments d’infrastructures, à des applications, à des données sensibles, etc. Ces utilisateurs peuvent avoir des rôles variés : administrateurs systèmes, réseaux, prestataires de maintenance, cadres dirigeants, PDG, etc.
Cette menace est aujourd’hui l’une des priorités des responsables informatiques, mais la prise de conscience semble toujours faible du côté des dirigeants d’entreprise. La menace est bien réelle et il est temps pour les entreprises de réagir et de prendre des mesures pour lutter contre ce mode d’attaque., voici comment elle se présente et comment tenter de s’en protéger au mieux.
Bien qu’il soit difficile de quantifier l’impact général de ces failles, le nombre total de données volées se chiffre probablement en milliards. Cela concerne des informations particulièrement sensibles telles que des informations de carte bancaire, des comptes utilisateur, des renseignements sur les employés, des dossiers médicaux, etc. Ces attaques sont aujourd’hui menées à très grande échelle sans distinction de secteurs. Une étude récente du cabinet Forrester confirme que 80 % des failles de sécurité concernent les informations d’identification d’utilisateurs privilégiés.
Comment ces informations sont-elles compromises ?
La communauté des professionnels de la sécurité informatique a pris conscience que la sécurité basée sur le seul périmètre du réseau de l’entreprise ne suffit plus à tenir les pirates à distance. À l’ère de l’économie numérique, des applications publiques, du BYOD et des réseaux informatiques hybrides, les cybercriminels disposent de moyens quasiment illimités pour infiltrer les réseaux des entreprises. Ils exploitent ces failles de différentes manières.
Via des recherches externes – Nous avons déjà vu des attaques menées directement contre des utilisateurs privilégiés, via de l’ingénierie sociale, mais ces utilisateurs étant généralement mieux sensibilisés, les pirates préfèrent s’attaquer à des cibles plus accessibles : des employés lambda. Une fois les informations d’identification du compte utilisateur compromises, les attaquants peuvent orienter leur attention vers leur objectif ultime : les comptes privilégiés. Compte tenu du volume d’informations accessibles aux attaquants, la plupart partagées par les victimes potentielles sur les réseaux sociaux, il n’est guère surprenant que des cybercriminels déterminés parviennent à élaborer des attaques de type phishing, assez convaincantes pour tromper les utilisateurs.
Infiltration – Les attaquants combinent souvent différentes tactiques pour s’infiltrer dans les environnements informatiques. Ils peuvent ensuite procéder à une reconnaissance interne. Malgré les alertes des équipes informatiques, le phishing et le spear-phishing restent des pratiques très utilisées par les hackers. Dans la plupart des cas d’intrusion, la première étape consiste à amener des utilisateurs peu méfiants à accomplir une action permettant à l’attaquant de parvenir à ses fins. Généralement mené par le biais d’e-mails ou de messages instantanés, le phishing est une technique utilisée pour convaincre la victime de divulguer de précieuses informations (comme ses identifiants) ou, plus couramment, d’ouvrir un document ou de cliquer sur un lien afin que l’attaquant puisse télécharger et installer un programme malveillant.
Le spear-phishing est une technique plus ciblée, qui consiste généralement à utiliser des informations récoltées lors de leurs recherches sur l’entreprise ciblée pour pouvoir ensuite envoyer des e-mails plus authentiques. Pour récupérer des renseignements utiles, les cybercriminels peuvent également installer d’autres types de programmes malveillants sur l’ordinateur ou l’appareil d’un utilisateur. Lors de ce type d’attaques, la compromission initiale a pour but d’installer un logiciel qui aidera les attaquants à prendre le contrôle du terminal de la victime ou à recueillir certaines informations, comme des identifiants. Le programme malveillant Keylogger, qui enregistre chaque frappe au clavier, remplit parfaitement cet office en récupérant les mots de passe.
Reconnaissance interne – Une fois infiltrés dans l’environnement informatique de la victime, les attaquants effectuent une reconnaissance interne. L’objectif est de rassembler autant d’informations que possible sur l’environnement informatique, afin de cartographier le réseau et les systèmes infiltrés. Ils disposent pour ce faire d’un large éventail d’outils de diagnostic réseau, dont ping, traceroute et netstat. Les scanners de ports et d’enregistrements DNS, comme nmap, fournissent eux aussi des renseignements très utiles sur l’environnement informatique de l’entreprise.
Élévation de privilèges – Armé d’une solide connaissance du réseau, l’attaquant peut alors tenter d’acquérir des privilèges plus élevés en vue d’accéder à un contrôleur de domaine. Pass-the-hash, l’acquisition de clés SSH, et exploits représentent les trois techniques les plus couramment utilisées pour l’élévation de privilèges.
- Pass-the-hash – Depuis des décennies, les mots de passe constituent le fondement de la sécurité informatique. Lorsqu’ils sont stockés, ils peuvent être chiffrés à l’aide d’une méthode de transformation unidirectionnelle baptisée « hachage ». Normalement, un attaquant qui dérobe des mots de passe chiffrés doit les déchiffrer pour accéder aux systèmes, mais l’opération est à la fois complexe et chronophage. Sur les machines Windows, les hachages de mots de passe sont mis en cache dans le sous-système Local Security Authority Subsystem. Lorsqu’un attaquant réussit à accéder à ces informations, en particulier celles des comptes administrateur, le téléchargement de ces hachages est un moyen pour lui d’accéder à d’autres machines et systèmes sur le réseau. Il peut ensuite s’authentifier auprès d’un serveur ou d’un service distant en utilisant le hachage NTLM ou LanMan sous-jacent du mot de passe d’un utilisateur au lieu du mot de passe en clair.
- Acquisition de clés SSH – De nombreuses entreprises ont recours au protocole SSH (Secure Shell) pour la gestion à distance des machines fonctionnant sous Linux/Unix. Des clés SSH, c’est-à-dire les identifiants d’accès du protocole SSH, sont couramment utilisées par les administrateurs système et les super-utilisateurs pour automatiser les processus et établir des connexions SSH sans mot de passe. Les attaquants déploient des programmes malveillants destinés à récupérer ces clés. Ils disposent ainsi d’une porte dérobée leur permettant d’accéder à d’autres serveurs et, dans certains cas, de compromettre l’intégralité du réseau. Ces clés SSH sont particulièrement dangereuses car elles fournissent bien souvent aux attaquants un accès root ou administrateur grâce auquel ils peuvent installer un programme malveillant.
- Exploits – Les exploits sont des programmes conçus pour tirer parti des vulnérabilités des applications ou des systèmes d’exploitation. Ces éléments de code permettent aux pirates de prendre le contrôle d’un système informatique ou de bénéficier d’une élévation de privilèges. Le but des logiciels qui exploitent les vulnérabilités des systèmes d’exploitation Linux est d’octroyer aux attaquants un accès de type super-utilisateur aux systèmes cibles sous la forme d’une commande root immédiate. S’approprier des privilèges root sur un système Linux est généralement très simple : il suffit de télécharger l’exploit sur le système de fichiers cible, de compiler l’exploit et de l’exécuter.
Sur les systèmes Linux, les attaquants ont également la possibilité d’exploiter les vulnérabilités des fonctions SUID (set user ID) et SUDO (substitute user do). En effet, mal configurés, ces deux services peuvent leur offrir des privilèges root avec un contrôle pratiquement illimité sur le système cible.
Les cybercriminels innovent sans cesse pour franchir les barrières de l’entreprise. Désormais organisés comme de vraies entreprises du crime, ils disposent de moyens importants pour attaquer les entreprises, dont ils ciblent toutes les informations potentiellement génératrice d’argent.
Aujourd’hui, ils ciblent sans distinction toutes les entreprises. Les chefs d’entreprise prennent de plus en plus conscience de la menace qui les cible, notamment grâce aux nombreuses affaires, mais ils ne distinguent pas encore l’état réel de la menace et surtout les nombreux points faibles de leur entreprise. Pour cela le bon postulat de départ est de se dire que la menace est déjà à l’intérieur de son réseau… C’est la réalité, les cyberattaquants ont des moyens très poussés pour pénétrer les réseaux sans se faire détecter et l’un de ces principaux moyens est de compromettre un compte utilisateur pour s’assurer un accès sans aucune surveillance ou presque…
_______
Csaba Krasznay est évangéliste sécurité, Balabit