Un public d’initiés serait certainement déjà familier avec la loi de Moore et son rôle dans l’évolution de la technologie, toutefois, s’agissant du monde de la sécurité, un parallèle avec l’ouvrage de Darwin, L’origine des espèces, et sa théorie de la sélection naturelle serait peut-être plus pertinent.

Depuis des millénaires, les chasseurs ont conscience que si leur proie les voit, ils repartiront probablement bredouilles. Il en va de même dans le monde de la sécurité des données et des réseaux. L’ère des menaces comme les vers Lovebug, Melissa, CodeRed et SQL/Slammer datant des années 1999 à 2003, est loin derrière nous, du moins en matière de développement. À cette époque, les logiciels malveillants étaient tellement nuisibles sur les réseaux qu’il était facile de les détecter et donc de s’en débarrasser. Une fois le processus de défense mis en place, l’attaque suivante était relativement plus simple à éviter, et ainsi de suite.

Les experts de la sécurité ont tiré les enseignements de ces leçons et la sécurité a été améliorée. Mais tout comme dans la nature, le jeu entre le prédateur et sa proie ne s’arrête jamais. Les cybercriminels n’ont donc pas tardé à apprendre comment passer inaperçu. Au départ, cela impliquait de ne pas essayer d’attaquer toutes les adresses IP sur Internet, ou toutes les adresses électroniques et tous les serveurs.

Rapidement, les malwares sont devenus furtifs. Ce caractère furtif a été renforcé par l’adoption de l’offuscation et du déplacement d’extraits de code de sorte que les modèles de défense standard visant à identifier les logiciels malveillants (scanners basés sur des fichiers, en général) ne permettent pas de détecter le code d’attaque. Ensuite, le chiffrement a fait son apparition. Le secteur est donc passé à la détection de ces packers fréquemment utilisés. De nouveaux termes, comme « stéganographie », sont apparus, ont disparu, puis sont réapparus.

Outre le changement des menaces, le modèle en constante évolution de l’informatique a également joué un rôle dans le développement des programmes furtifs. Qu’il s’agisse d’outils système largement adoptés, de cadres de développement courants, de bibliothèques, ainsi que de services et d’applications administrateur, ou même la façon dont les systèmes d’exploitation fonctionnent, tous ces éléments présentent des opportunités exploitables pour les cybercriminels.

De par l’utilisation de ces outils courants, c’est-à-dire en les appelant, en leur demandant d’effectuer une tâche donnée, en utilisant un script pour exécuter un module, ou en lançant d’autres fonctions, services ou codes, les administrateurs système peuvent effectuer presque toutes les tâches qu’ils souhaitent sans écrire d’exécutable. Par conséquent, il en va de même pour les cybercriminels pour lesquels aucun déploiement n’est nécessaire, ni aucune copie du code sur le disque local ou sur le réseau, évitant ainsi d’être détectés par les solutions de sécurité les plus couramment déployées à l’heure actuelle.

Ainsi, sans menace déployée, comment les entreprises peuvent-elles stopper les hackers alors qu’ils utilisent les mêmes outils que ceux dont nous avons besoin pour administrer, maintenir et même améliorer la sécurité ?

Cette approche n’est pas la seule qui existe. En 2014, il a été dévoilé que les menaces avaient recours à des techniques intelligentes avancées pour rester uniquement dans la mémoire et ne pas toucher aux disques, afin de tirer parti de processus légitimes (et parfois, de s’y dissimuler). Des attaques comme Kovter, qui ont été les premières à utiliser des techniques sans fichier en 2015, laissaient déjà entrevoir ce qui était à venir : l’arrivée de menaces presque indétectables par la protection des terminaux standard.

Depuis lors, nous avons constaté des évolutions. Certaines menaces dans le BIOS ou dissimulées dans un rootkit sont conçues pour être exécutées en tant que racine réelle sur les appareils et pour toujours rester cachées. Nous avons également eu affaire à des malwares exploitant des outils utiles, comme Powershell et Microsoft MSHTA (toujours via une variante ultérieure de Kovter), et même à des outils d’administrateur de la sécurité comme Metasploit utilisés pour créer et mettre en œuvre des logiciels malveillants dissimulés.

Il apparaît clairement que les jours de notre modèle de sécurité actuel sont comptés, sachant que la technologie de protection des terminaux est passée de solution de première ligne à celle de dernier recours. Les entreprises seront obligées de s’adapter aux nouvelles techniques d’identification des menaces, mais une question demeure : s’il n’est plus d’actualité de rechercher le mauvais code, que rechercher ?

Il paraît évident qu’il est impossible de repérer un criminel simplement en le regardant ou en l’inspectant. Par contre, vous savez qu’il s’agit d’une personne malintentionnée en étudiant son comportement. De même que dans le monde réel des délits pénales, en matière de données, nous devons commencer par observer les signes de menaces, savoir déterminer ce qu’est une attaque, comprendre les actions effectuées lors de celle-ci, puis examiner son auteur et sa cause.

Prenons l’exemple du ransomware. Est-ce normal pour un humain de dénombrer des centaines de partages sur un réseau ? Avez-vous pour habitude d’écraser des milliers de fichiers locaux et à distance sur le réseau ? Bien sûr que non. Il semble évident qu’il ne s’agit pas d’une manipulation humaine. Il en va de même pour de nombreuses violations de données. Est-ce acceptable que des bases de données présentent un tel volume de trafic dirigé vers une adresse IP interne, surtout en dehors du réseau ? Non. Alors évitez d’en être victime.

Si des malwares avancés sont présents dans le matériel ou sur le réseau, ce n’est qu’avec une combinaison d’analyses de comportement issues potentiellement de multiples technologies différentes que les organisations pourront utiliser des technologies de détection des menaces avancées, préventives et d’apprentissage automatique permettant de détecter et d’anticiper tout dommage éventuel.

C’est ce vers quoi tend le secteur. Les fournisseurs de solutions de sécurité s’appliquent de plus en plus à tirer des informations de milliers de points de données, en mettant en corrélation leur activité avec celle d’autres solutions tierces, en ajoutant du contexte (en fonction d’expériences antérieures), sans oublier les données et les connaissances d’autres organisations. Ils transmettent ainsi à leurs clients le savoir dont ils ont besoin pour protéger leur entreprise.