Si le vol d’informations, l’espionnage industriel et la guerre économique par atteinte à l’image et à la notoriété d’une entreprise ont toujours existé, la dématérialisation et le développement des outils informatiques a fortement modifié les moyens de parvenir à ces fins. Ainsi, avec les menaces ciblées, persistantes (APT), attaques DDoS et 0-Day, unanimement redoutées des RSSI, les motivations et les objectifs demeurent mais la forme et les armes utilisées sont différentes. Ces menaces informatiques évoluées sont un danger totalement inédit pour le système d’information. Sont-elles cependant si différentes des menaces dites aujourd’hui, « traditionnelles » ?
Des délits aux objectifs précis et minutieusement préparés par des experts
Revenons tout d’abord aux attaquants et à leurs motivations. Dans les années 90, les pirates étaient en quête de reconnaissance. Ils créaient des virus pour affirmer leurs capacités technologiques. Les cybercriminels ont par la suite échangé et vendu des méthodes d’attaques, des outils et des données volées. Puis, pour répondre aux besoins des marchés parallèles de l’underground, les nouveaux pirates se sont ‘professionnalisés’, affichant des compétences très pointues pour lancer des attaques de plus en plus abouties et sophistiquées. Aujourd’hui, leur capacité d’adaptation s’exerce dans la recherche des faiblesses ou des failles sécuritaires des nouvelles technologies.
Le niveau d’expertise acquis par certains cybercriminels est devenu ainsi extrêmement élevé. Très performants, ils attaquent des entreprises commerciales et industrielles ou des organisations gouvernementales et politiques, mettant en péril l’économie toute entière et la stabilité du pays. Ce sont les mercenaires des temps modernes. Pour l’entreprise, de tels actes ont toujours des répercussions financières et portent atteinte à la crédibilité et à la réputation d’une marque. A une autre échelle, on imagine la catastrophe engendrée s’ils touchaient des secteurs aussi sensibles que le nucléaire, l’approvisionnement en énergie ou les télécommunications.
Très motivés, les attaquants disposent de moyens importants. Ils ne laissent rien au hasard. Orchestrées par des organisations mafieuses, des groupes militants ou… des états, les attaques restent furtives et durent jusqu’à ce que l’objectif soit atteint ; ce qui peut être très long lorsque l’objectif est d’exfiltrer des données.
Une stratégie d’attaque est mise au point, permettant d’atteindre le but fixé. Les APT ou Menaces Persistantes Avancées (Advanced Persistent Threats), tant redoutées, mettent en œuvre plusieurs techniques d’attaques – injection SQL, XSS, etc. Si chaque composant – phishing, malware, XSS, etc. – n’est pas toujours techniquement très évolué, la combinaison organisée et méthodique des approches et des outils employés en font une attaque avancée.
Repérage des lieux et intrusion furtive
Persistantes et furtives, les nouvelles attaques cherchent à n’éveiller aucun soupçon. De leur discrétion, clé de leur durée au sein du système d’information attaqué, dépend leur succès. Elles ne laissent aucune place à l’improvisation et exigent la coordination des pirates. Organisées avec minutie, elles demandent généralement des compétences techniques sophistiquées. Pour les mafieux, le coût d’une telle attaque est important et le gain financier, bien que potentiellement considérable, est rarement immédiat.
Le pirate s’emploie tout d’abord à trouver le moyen de s’introduire furtivement dans le système ciblé. Le facteur humain – ingénierie sociale, drive by download, clickjacking, e-mail piégé, réseaux sociaux, forum professionnels, chats… – est plus souvent utilisé dans les attaques APT que dans les attaques classiques. Bien connaître sa victime permet au hacker de la piéger facilement. Souvent bavard, l’utilisateur révèle beaucoup trop de choses concernant sa fonction, son activité, voire ses droits sur le réseau. Beaucoup ne mesurent pas l’importance des informations qu’ils traitent dans leur organisation, ni les portes qu’ils peuvent entrouvrir aux pirates, qui n’attendent que l’occasion de pénétrer plus avant dans le système.
En parallèle à la préparation de l’intrusion « fine », l’attaquant va lancer simultanément plusieurs attaques de diversion, utilisant notamment le DDoS réseau (flooding) pour noyer dans la masse des événements de sécurité ainsi générés, la partie concernant l’attaque plus fine, la rendant ainsi furtive. Il utilise également de plus en plus d’attaques DDoS applicatives, plus discrètes et difficiles à bloquer, notamment en amont du réseau de la cible, et qui permettent, soit de faciliter l’intrusion en désactivant certains maillons de la chaîne de sécurité, soit, là encore, de détourner l’attention des équipes de supervision et d’exploitation de la victime.
A la recherche de privilèges
Divers outils sont installés par le hacker pour rester invisible et récupérer des identifiants, des comptes, des adresses… Pour se garantir un passage libre dans le réseau qu’il a réussi à pénétrer, le hacker met en place une porte dérobée (backdoor), puis il essaie d’accroître ses droits d’accès pour aller et venir à son aise (libre circulation) et accéder aux informations sensibles. L’authentification des utilisateurs, le chiffrement des communications ainsi que la traçabilité des accès et des opérations demeurent, aujourd’hui encore, le maillon faible d’un système d’information, de plus en plus ouvert au monde extérieur. La généralisation du BYOD (Bring your own device), l’externalisation de la maintenance, l’infogérance ou la pratique incontrôlée du Cloud Computing rendent difficile la gestion des identités. Les pirates bénéficient de cette situation, rencontrant peu de difficultés pour obtenir des privilèges plus importants.
Suit une phase d’exécution de codes (backdoors, chevaux de Troie, proxies, etc.) et de déploiement d’outils (ex. RAT, kits etc.) destinés à exfiltrer discrètement des données.
Les APT utilisent les mêmes vecteurs que les attaques traditionnelles pour compromettre leurs cibles. Les protections en place comme les pare-feu sont contournées et échouent face aux DDoS applicatifs, aux exploits 0-day, aux attaques ciblées… L’attaquant qui parvient à franchir la porte, exploite généralement une vulnérabilité pour voler les données convoitées.
Nouveauté ou pas ?