Depuis le début de la pandémie, le quotidien des salariés est davantage rythmé par les échanges numériques et la démocratisation du télétravail. Dans ce contexte, les informations partagées, dont certaines sensibles, sont hébergées par des services cloud et la recrudescence des cyberattaques menace la sécurité de ces données. Et si, dans la pop culture et les scénarios hollywoodiens, des criminels chevronnés infiltrent des systèmes de défenses qui semblent impénétrables, la réalité en est tout autre car il est plus simple qu’il n’y parait de mener des actions malveillantes.

Le cyber-espionnage consiste à infiltrer discrètement les systèmes informatiques d’une organisation ou d’un individu, afin de s’emparer de données et de les exploiter. En effet, il arrive que des activités malveillantes n’éveillent pas de soupçon, et l’absence de méfiance des utilisateurs visés explique en grande partie le succès des cyberattaques.
D’après un rapport récent de Verizon, 86 % des compromissions de données visent un gain financier ; et pour plus de la moitié (56 %) de ces attaques, les acteurs de la menace cherchent à obtenir des identifiants pour accéder et débloquer des ressources sensibles. En outre, ce rapport met en avant que les cyberattaques réussies misent sur une infiltration lente et silencieuse, renforcée par un contact direct très personnel et en apparence inoffensif avec les victimes.
Par ailleurs, de nombreux employés IT ne sont pas suffisamment formés à la gestion et la configuration de la sécurité. La plupart des compromissions constatées sont ainsi dues à une mauvaise configuration, un accès mal paramétré aux serveurs par exemple ; mais également à des erreurs humaines qui peuvent créer des vulnérabilités susceptibles de causer encore plus de dommages que des attaques sophistiquées, telles que les ransomwares.

Impliquer tous les acteurs d’une organisation

Les attaquants prospèrent particulièrement dans les périodes de difficulté et de transition. L’année 2020 a donc connu une augmentation des campagnes malveillantes, puisque les organisations et les employés ont dû s’adapter rapidement à une nouvelle normalité, notamment avec l’adoption précipitée du télétravail. Dans ce contexte – et avant même la transition massive et urgente vers le travail à distance et le poids supplémentaire imposé par la gestion des accès à privilèges – les équipes IT ont pu constater que la sécurité n’était plus uniquement la problématique d’experts spécialisés, mais une responsabilité collective partagée.
Cette constatation, et la réorganisation qu’elle impose, présente de nombreux avantages mais aussi des inconvénients ; notamment l’accès de nombreuses personnes à d’innombrable informations et matériaux sensibles. Or, tout au long de la transition numérique, les accès, les éléments confidentiels et les identités critiques doivent être impérativement protégés. De plus, pour une entreprise, il y a des avantages considérables à ce que les questions de sécurité soient abordées durant l’ensemble du processus de déploiement. Cela renforce en effet les moyens mis à disposition des équipes de sécurité et permet de les intégrer dans chaque étape du développement.

Ne pas négliger la responsabilité humaine

Depuis toujours, l’employé est le maillon faible de la cybersécurité, car une organisation n’est jamais à l’abris d’une erreur humaine. La stratégie des cyberattaquants est donc similaire à la publicité – de la même façon qu’une marque va étudier son taux de conversion avant de décider de mener une campagne marketing : plus les victimes avec lesquels les hackers entrent en contact sont nombreux, plus ils sont susceptibles de réussir une tentative d’attaque. L’interaction personnelle est ainsi réputée pour être particulièrement efficace, ce qui contribue à faire de l’ingénierie sociale le principal vecteur d’attaque.
Si la plupart des utilisateurs sont aujourd’hui sensibilisés et n’ouvrent plus les pièces jointes d’un expéditeur inconnu, épaulés par les filtres anti-spam bloquant les adresses électroniques suspectes, le recours récent à des applications de communication et de collaboration à distance – comme Zoom et Microsoft Teams – a permis aux attaques de phishing de devenir plus ciblées et plus subtiles.

Les GIF comme point d’ancrage d’une attaque longue et discrète

Avec la propagation de la pandémie du Covid-19, les applications de messagerie sont devenues un moyen de communication populaire, d’autant qu’elles permettent aux attaquants de personnaliser leurs messages. En effet, il ne s’agit pas d’un simple email spam par exemple, puisque les victimes reçoivent des messages sur mesure, émanant à priori de personne de confiance, et qui peuvent notamment inclure des GIF qui ont l’avantage de mettre spontanément en confiance. La faille est alors particulièrement rapide puisque le simple visionnage du GIF peut compromettre l’identité des victimes et permettre aux cybercriminels de s’introduire dans un réseau.
L’approche choisie ici est une stratégie dite « d’exploitation des ressources », dans laquelle un cybercriminel n’utilise pas d’outils extérieurs, mais se sert de dispositifs administratifs et des plateformes de communication mises à la disposition des salariés.
Les attaquants utilisent un compte à privilèges dormant pour s’infiltrer sans être détecté, et une fois dans le réseau, ils entrent ensuite en contact avec des personnes en se faisant passer pour l’un des employés. Dès lors, leur objectif est de se maintenir aussi longtemps que possible dans l’écosystème d’une organisation, en paraissant aussi « normal » que possible.

Ce procédé non invasif permet en effet à la cyberattaque d’être discrète et ne pas éveiller de soupçon. De plus, en combinant cette technique avec des messages personnalisés et une interaction anodine, il devient d’autant plus facile d’accéder aux identifiants et de contourner les contrôles d’accès. C’est pourquoi les compromissions ne sont souvent pas suivies de signaux d’alerte immédiats. Ainsi, selon Verizon, la détection d’une attaque prend dans 69 % des cas des mois, voire des années, et l’alarme provient bien souvent d’une tierce partie. Les campagnes d’espionnage sont donc longues et lentes, et demandent beaucoup de temps et de patience aux hackers.
Après avoir effectué une reconnaissance, ces derniers cherchent à obtenir des identifiants et des comptes à privilèges, puis escaladent les privilèges pour se déplacer latéralement et verticalement vers leur cible, qui a accès à des données sensibles.

Penser comme un attaquant

En outre, les acteurs de la menace tirent pleinement parti de la sophistication croissante des applications de messagerie et des logiciels de communication. Les failles sont en effet nombreuses, et il n’existe pas de solution miracle pour les corriger toutes. Afin de pallier ces manquements, les organisations peuvent appliquer des tactiques, techniques et procédures (TTP) utilisées lors d’attaques réelles, pour découvrir des vulnérabilités cachées, tester les procédures de sécurité et identifier les domaines qui doivent être améliorés. Cette stratégie a pour objectif de penser et d’agir comme de véritables attaquants, aidant ainsi les entreprises à se préparer aux campagnes malveillantes contre leurs infrastructures.
Dès lors, les équipes IT se consacrent autant à défendre une entité contre les menaces connues qu’à anticiper l’inconnu ; et jouent de fait un rôle actif dans la sécurité d’une organisation. Il est important de comprendre que le cyber-espionnage profite en réalité des petites erreurs apparemment anodines inhérentes à chaque organisation.

Les risques qui pèsent sur les informations numériques ne sont donc pas nécessairement flous et inévitables. Contrairement aux idées reçues, les menaces auxquelles sont confrontées les entreprises ne prennent pas toujours la forme d’attaques élaborées et spectaculaires. Elles sont bien souvent non sophistiquées et profitent de la moindre vulnérabilité pour agir. Une méfiance raisonnée, une vigilance constante et penser comme un cybercriminel, représentent donc les fondements d’une sécurité efficace pour lutter contre les attaques en constante augmentation.
___________________

Par Lavi Lazarovitz, Security Research Team Lead chez CyberArk