Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Attaques ciblées : quelques mesures pour s’en prémunir

février 2013 par Emmanuelle Lamandé

Toute organisation peut être, et sera sans doute un jour, la victime d’une attaque ciblée visant à exfiltrer des informations, voire même à en assurer la destruction. « Avec le recul », explique Cyril Voisin, Chief Security Advisor chez Microsoft Gulf, à l’occasion des Microsoft TechDays 2013, « force est de constater que ce type d’attaque pourrait, dans de nombreux cas, être nettement ralenti, si ce n’est stoppé, grâce à certaines mesures simples. L’objectif est donc de devenir une cible plus difficile à atteindre, tout en augmentant la sécurité de ses systèmes d’information ».

Les attaques ciblées sont des attaques perpétrées par des acteurs motivés, et qui, contrairement aux attaques à l’aveugle, visent directement votre entreprise. Ce qui signifie que les attaquants feront le nécessaire pour vous atteindre. Leurs objectifs peuvent être multiples : espionnage, modifications, sabotage… Ce dernier représente, d’ailleurs, une nouvelle tendance forte, qui vise à détruire tous vos serveurs... comme ce fut le cas de l’attaque touchant Aramco en Arabie Saoudite. Les attaques les plus graves et les plus pernicieuses restent toutefois, selon lui, celles visant à exfiltrer des données. La technologie que vous utilisez ne changera rien à l’issue de l’attaque, car l’attaquant s’y adaptera en conséquent. Que peut-on faire alors ?

Dans un premier temps, il rappelle que la sécurité repose sur trois piliers :
- La confidentialité : faire en sorte que les secrets restent « secrets », une mission qui s’avère difficile à l’heure de WikiLeaks et des réseaux sociaux ;
- L’intégrité : il s’agit ici de vérifier que les données n’ont pas été modifiées ;
- La disponibilité des données et des systèmes.

Toutefois, il ne faut pas perdre de vue que la solution n’est pas que technologique, comme le démontre l’image ci-dessous. La sécurité repose sur un mélange de personnes, de processus et de technologies. Parmi les personnes importantes dans cette chaîne, on compte bien sûr les administrateurs, les développeurs, les employés, mais aussi les sous-traitants…

Outre une approche basée sur une gestion des risques et une défense en profondeur, plusieurs principes de sécurité sont, selon Cyril Voisin, à adopter :
- Le principe du moindre privilège : ne jamais rien faire avec des droits supérieurs à ce dont on a besoin ;
- Réduire autant que faire se peut la surface d’attaque ;
- Isolation et compartimentation du réseau : en cas d’attaque, le but est que l’attaquant n’ait accès qu’à une partie du réseau et non à son intégralité ;
- Audit/traçabilité ;
- Le besoin d’en connaître ;
- Séparation et rotation des rôles : il conseille par exemple une rotation des rôles des administrateurs de temps en temps, tous les 6 mois environ ;
- Ou encore la sécurité positive.
Toutefois, force est de constater qu’autant attaquer quelqu’un est très facile, le défendre reste très difficile. De manière générale, l’entreprise doit garder à l’esprit que la sécurité est quelque chose de relatif ; et donc que la sécurité absolue n’existe pas.

Attaques ciblées : comment ça marche ?

Souvent, les premiers vecteurs d’infection se font via des emails envoyés à certains utilisateurs de l’entreprise, désignés comme cibles par l’attaquant. Par ce biais, ce dernier va pouvoir exécuter du code malveillant sur la machine de la victime, effectuer une élévation de privilèges si nécessaire, puis installer un malware… Il va, en effet, rechercher des credentités puissantes (admin...). Une fois que l’attaquant devient administrateur du domaine, il a accès à tout le réseau de l’entreprise et contrôle alors absolument toute l’infrastructure. Il pourra donc exfiltrer les données souhaitées ou tout bonnement les détruire (Lire à ce sujet le livre blanc de Microsoft contre le vol de crédentités et les attaques de type Pass-the-Hash (PtH) : http://aka.ms/PtH ). C’est pourquoi il déconseille fortement aux admins d’avoir le même compte sur l’ensemble de leurs machines. Les administrateurs de domaine doivent, de plus, se rendre compte de l’importance de leur rôle.
L’entreprise doit également avoir conscience qu’un antivirus ne détectera jamais ce type d’attaque, car le kit de hack à été spécialement conçu pour l’entreprise et donc testé au préalable sur tous les antivirus.

Une approche défensive structurée permettrait, selon lui, de réduire d’environ 80% les risques. A court terme, il recommande au préalable d’identifier les biens qui font de vous une cible et de mettre en place une approche de gestion des risques en fonction des choses qui sont les plus importantes pour vous. L’entreprise doit partir du principe qu’elle sera attaquée, et que l’important est de s’y préparer et de faire en sorte que les impacts soient les plus faibles possibles. L’approche doit donc s’articuler autour de la protection, de la détection d’intrusion et de la réaction en cas de problème. Une réflexion doit également être menée sur le confinement du réseau, mais aussi les problématiques de récupération en cas d’attaque. Est-on vraiment sûr de son matériel ? Si ce n’est pas le cas, il faudra tout reconstruire.

Trois mesures essentielles :

- Mises à jour de sécurité : l’entreprise ne doit pas laisser de vulnérabilités connues potentiellement exploitables. C’est valable pour tous les logiciels, y compris Java, Adobe… Les mises à jour doivent, en outre, être faites dans un délai raisonnable, soit environ trente jours. Souvent, les entreprises ne le font qu’au bout de plusieurs mois, ce qui représente un véritable risque. C’est un processus qui doit, de plus, se faire sur le long terme. Il rappelle, à ce sujet, que Windows XP ne sera plus supporté à partir du mois d’avril 2014 ; les utilisateurs doivent donc penser à anticiper la transition…

- Moindre privilège : comme expliqué précédemment, il faut réduire le nombre d’administrateurs au maximum. Chacun d’entre eux doit, en outre, avoir deux comptes : un compte admin et un compte utilisateur. Parmi les autres recommandations en la matière, on peut citer entre autres qu’un administrateur du domaine ne doit jamais se logguer sur une machine d’un niveau de confiance bas, ou encore qu’il faut empêcher à ces comptes d’être utilisables à distance… L’objectif de ces différentes mesures est d’empêcher le mouvement latéral de l’attaque, et donc d’éviter de donner tous les droits à l’attaquant.

- Liste blanche d’applications : il s’agit ici de lister toutes les applications autorisées, afin d’interdire les autres, notamment celles lancées par l’attaquant. C’est ce que propose, à titre d’exemple, la fonctionnalité AppLocker dans Windows 7 & Windows 8.

Une fois l’ensemble de ces trois mesures appliquées, l’entreprise peut aller encore plus loin :
- Surveiller sa solution antivirale, celle-ci pouvant donner des indices sur un éventuel comportement anormal ;
- Définir les données critiques et leur appliquer des protections supplémentaires ;
- La sauvegarde doit être effectuée hors site, mais aussi hors ligne ;
- Contrôler, voire interdire les supports amovibles, clés USB…

Enfin, Cyril Voisin recommande aux entreprises de commencer par utiliser l’ensemble des fonctionnalités de sécurité incluses dans leurs solutions et logiciels. Souvent, les entreprises ne les exploitent pas au maximum et ont, de ce fait, tendance à les cumuler, ce qui n’est pas non plus la solution !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants