Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Attaques ciblées : du concept à la réalité

octobre 2013 par Emmanuelle Lamandé

A partir d’un cas pratique d’attaque ciblée, Sylvain Conchon, Responsable CONIX Security, et Robinson Delaugerre, Consultant Sécurité chez CONIX Security, présentent, à l’occasion des Assises de la Sécurité, les fondamentaux d’une réponse pragmatique, adaptée et proportionnée : processus de réponse à incident, réactions à privilégier et écueils à éviter pendant l’ensemble du cycle de l’attaque...

L’univers des cybermenaces est aujourd’hui en constante évolution et s’articule autour d’intentions diverses et variées. Parmi elles, le vol d’informations, notamment confidentielles et sensibles, reste en pole position. Pour parvenir à leurs fins, les pirates utilisent de plus en plus ce qu’il est à la mode d’appeler « Advanced Persitent Threat » (APT). Pour Sylvain Conchon, ce terme n’est toutefois pas vraiment approprié, ces attaques n’étant pas forcément avancées, ni persistantes. Aussi, mieux vaut parler d’attaques ciblées. Du côté de la défense, ces dernières nécessitent une réponse spécifique et adaptée.

Attaques ciblées : du concept…

Il existe de nombreuses tentatives de modélisation des cyberattaques, qui se veulent d’ailleurs plus ou moins convergentes :
 Planification et reconnaissance
 Intrusion
 Élévation de privilèges
 Augmentation de périmètre
 Recherche d’actifs de valeur
 Exploitation de ces actifs
Ces phases peuvent être cycliques, notamment dans le cas d’une attaque persistante et évolutive.

Du côté de la gestion des cyberincidents, la modélisation apparaît généralement comme telle, même si bien entendu chaque cas pratique reste spécifique :
 Détection
 Évaluation du périmètre
 Détermination des actifs de valeur
 Définition des moyens de réponse
 Réaction
 Remédiation
 Analyse forensique post incident
 Retour aux opérations

… à la réalité terrain

Afin de mettre en situation cette modélisation très conceptuelle, Sylvain Conchon et Robinson Delaugerre partagent leur retour d’expérience d’une attaque ciblée visant un acteur du e-commerce.

Lors de la phase de reconnaissance, l’attaquant détecte une faille XSS sur le site du e-commerçant, via laquelle il va pouvoir compromettre le client. L’objectif d’une faille XSS est d’exploiter la relation de confiance des utilisateurs envers les domaines qu’il visite. Il faut savoir que plus de 50% des services Web seraient aujourd’hui vulnérables.

L’attaquant utilise le Live Chat du service de support du site de e-commerce pour établir le dialogue avec un technicien et lui faire parvenir un lien tronqué dans l’une des questions posées. Le technicien clique sur le lien malveillant et se retrouve infecté par ce biais. L’exploitation de la vulnérabilité CVE-2012-1535, vulnérabilité dans Adobe Flash Player, a permis au pirate d’exécuter du code sur le poste de l’utilisateur compromis. L’attaquant installe alors un reverse tunnel sur le poste support, ce qui lui permet d’explorer le réseau, mais uniquement en heures ouvrées. Dès lors, il scanne le réseau depuis le poste compromis, trouve un serveur d’application avec une vulnérabilité Jboss, exploite cette vulnérabilité, installe un reverse shell, et compromet ainsi le périmètre de manière permanente.

Cette compromission a permis l’extraction des bases de données d’une application métier, contenant des mots de passe stockés en clair. Le pirate a ensuite pu réutiliser des mots de passe en local, puis sur le réseau. Il découvre un compte avec des droits administrateur et met en place un tunnel chiffré. Sylvain Conchon souligne à ce sujet le défaut récurrent de sécurisation des applications internes. De mauvaises pratiques de développement dans une application interne compromettent la sécurité des mots de passe utilisateur. Sans compter le problème de l’utilisateur qui dispose des mêmes identifiants dans un contexte applicatif et dans un contexte système.

Cette attaque a pu être détectée le jour où l’application interne n’était plus joignable, en raison d’un déni de service involontaire. Le rétablissement du service a permis à l’administrateur de découvrir la backdoor. C’est ainsi que le e-commerçant a fait appel à un partenaire, tel que CONIX, pour analyse. La défense a alors mis en place des outils de monitoring dédiés permettant l’analyse du trafic réseau, le parsing des logs et le déchiffrement du trafic.

Le pirate, quant à lui, devenu administrateur du domaine, part à la recherche d’actifs de valeur, dans ce cas précis l’intérêt se porte sur l’identification des données bancaires présentes sur le frontal Web. Pendant ce temps, la défense observe et attend qu’il les trouve. La situation est sous contrôle de son côté, ses plans de monitoring étant en place. Elle a même pu jouer le plan de réaction en pré-production. Au moment où l’attaquant identifie une base de données bancaires, l’alerte est donnée par les outils de monitoring. La défense isole alors le frontal Web en maintenance et coupe le reste du SI d’Internet. C’est alors qu’elle lance son plan de réaction.

La remédiation chez le e-commerçant passe à la fois par :
 Une segmentation du réseau
 Le changement des mots de passe
 La mise à jour des applications vulnérables
 Les proxies filtrants
 Le monitoring réseau (SOC)
Globalement, le champ d’action de la victime consiste à minimiser la zone de danger (SOC), ainsi que la zone d’incertitude, et réduire la zone de confort de l’attaquant.

Clefs de réponse à une attaque ciblée :

 L’entreprise doit organiser ses défenses, car l’attaquant est organisé de son côté. Il faut savoir que certains attaquants travaillent même en 3/8 ;
 Elle doit toutefois rester lucide et méthodique, il faut réussir à dépassionner le débat ;
 La détection représente un aspect fondamental. Imaginez dans ce cas précis : si l’attaquant n’avait pas fait tomber le serveur, l’attaque n’aurait pas été détectée… ;
 Remédier de manière adaptée : il est certes important de ne pas sous-réagir, mais de ne pas sur-réagir non plus ;
 Enfin, il est essentiel de tirer les enseignements pour le futur et de capitaliser sur son expérience.


Voir les articles précédents

    

Voir les articles suivants