Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Fraudes et intrusions : retour sur quelques cas concrets

octobre 2013 par Emmanuelle Lamandé

Au travers de cas concrets de scénarios d’intrusion ou de fraudes rencontrés par les consultants d’XMCO lors d’audits de sécurité ou d’analyses forensics, Pierre Texier, Consultant Sécurité/Tests D’Intrusion chez XMCO, présente quelques-uns des modes opératoires suivis par les attaquants. La mise en évidence de ces événements lui permet également de mettre l’accent, à l’occasion des Assises de la Sécurité, sur certaines mesures pragmatiques qui auraient permis d’anticiper ou de limiter la concrétisation de tels scénarios.

Dans 8 cas sur 10, nos clients sont victimes d’attaques opportunistes, explique-t-il. L’objectif étant pour l’attaquant d’exploiter facilement et rapidement les failles de sécurité, mais aussi bien entendu de maximiser le retour sur investissement de l’exploitation de vulnérabilités. Toute entreprise peut potentiellement être ciblée par les attaquants, aucune d’entre elles n’est donc à l’abri.

Premier cas : fraude aux fausses factures

Ce cas de fraude aux fausses factures avait été mis en œuvre afin de détourner des sommes d’argent importantes. Pour ce faire, l’attaquant avait opté pour des techniques d’ingénierie sociale, visant à cibler directement quelqu’un du service comptabilité/fournisseur de l’entreprise, au travers de l’envoi par e-mail de fausses factures au format pdf, très bien conçues et formatées. La première tentative ayant échoué, le premier destinataire ne s’étant pas laissé piéger, l’attaquant a alors choisi d’effectuer une seconde tentative, par rebond interposé. En effet, l’attaquant a envoyé dans un second temps une fausse facture à l’un des partenaires de la victime, qui lui a téléchargé ce pdf vérolé par un keylogger.

Ce téléchargement a permis au pirate d’obtenir un premier accès. Mais il ne s’est pas arrêté là. Afin de pouvoir prendre le contrôle total à distance via un logiciel tel que TeamViewer, il a opté pour une seconde technique d’ingénierie sociale : appeler directement la victime en se faisant passer pour le support technique. Heureusement, la personne contactée est restée quelque peu dubitative et a contacté le véritable service support, ce qui a permis d’identifier l’attaque. La procédure de réponse à incident a immédiatement été lancée, et l’importante analyse de logs effectuée a posteriori a permis de mettre en relief le scénario de l’attaque.

Comment la société aurait-elle pu prévenir un tel scénario ? Bon point pour elle : le plan de réaction. Afin d’anticiper au maximum ce genre d’attaque et d’en minimiser l’étendue et l’impact, il est essentiel de disposer dans l’entreprise d’un plan de réaction, définissant les différentes personnes à contacter en cas de problème. La sensibilisation des utilisateurs sur la façon de réagir dans telle ou telle situation s’avère également fondamentale. Un antivirus sur le poste de travail de l’utilisateur aurait permis de limiter l’installation du logiciel malveillant. Il aurait également été nécessaire d’interdire les connexions sortantes et d’utiliser un navigateur renforcé pour accéder à Internet.

Lors de l’analyse forensics, il a été établi que des informations sensibles de l’entreprise avaient été volées. Ce scénario ne représente aucune difficulté technique, les vulnérabilités ont été facilement identifiables et exploitables.

L’attaque est aujourd’hui sous contrôle, toutefois le pirate reste inconnu et sera impuni. Il faut savoir, en effet, que dans 90% des cas, le client n’envisage même pas de déposer plainte, le processus étant trop long, coûteux et compliqué.

Deuxième cas : fraude téléphonique

Dans ce cas précis, l’objectif du pirate était le renvoi d’appels paramétrés sur des téléphones internes vers l’étranger ou des numéros surtaxés. L’impact avéré de cette fraude s’élève à près de 150 k€ surfacturés en 10 jours. C’est l’opérateur qui a averti le client, de nombreux appels étant émis vers des destinations inhabituelles pour l’entreprise. Suite à cette alerte, un mainteneur est intervenu pour reparamétrer le PABX. Cependant, seule une partie des installations téléphoniques ont été reparamétrées à ce moment précis, les attaquants ont donc pu réexploiter les mêmes faiblesses et réitérer l’attaque le week-end suivant. Il est, en effet, plus intéressant pour l’attaquant d’oeuvrer à partir du vendredi soir, l’attaque n’étant généralement détecter que le lundi suivant, a minima... Seconde intervention du mainteneur.

Nous sommes ici dans un cas de téléphonie traditionnelle et non de ToIP, comme certains pourraient le croire. Encore un scenario relativement simple, puisque les pirates ont pu exploiter très facilement les erreurs de paramétrages sur les postes téléphoniques.

Contrairement à la précédente, cette entreprise a eu des capacités de réaction plus limitées et manquait de traces pour l’analyse forensics. Le client était resté aveugle par rapport aux capacités de communication massive. On observe également un manque de suivi de taxation téléphonique et de suivi des consommations. Enfin, aucun audit de la plateforme de téléphonie n’avait été effectué en amont.

Les entreprises doivent être vigilantes par rapport à leur système téléphonique. De plus, elles doivent d’ores et déjà anticiper le BYOD, explique-t-il, et durcir les téléphones et tablettes, car les scénarios existants aujourd’hui sur la téléphonie classique se feront demain sur les tablettes ou les smartphones.

Troisième cas : espionnage

Ce troisième scénario commence par l’intrusion de pirates sur un serveur Web français. A ce moment précis, les pirates n’ont pas pu aller très loin, mais ont réussi à supprimer toutes leurs traces. Six mois plus tard, ces mêmes pirates s’introduisent sur une DMZ en Allemagne, et compromettent le serveur par ce biais. Ils obtiennent ainsi la possibilité de passer toutes les commandes souhaitées au niveau du système. C’est un reboot du serveur à un horaire inhabituel qui a permis à l’entreprise de détecter l’attaque. Au final, cette dernière aura permis l’externalisation de données, grâce à la mise en place d’un serveur "command & control".

Ce cas met en exergue un plan de réaction défaillant dans l’entreprise. Il aurait également fallu qu’elle renforce l’Active Directory, maîtrise ses ressources présentes sur Internet, interdise les connexions sortantes, filtre les flux internes, protège ses bases de données, et installe un antivirus pour détecter les intrus.

Nous sommes ici dans un cas d’attaque ciblée beaucoup plus complexe. La volonté des pirates était d’être les plus furtifs possibles, afin de rester le plus longtemps dans le système. Chose faite, puisqu’ils ont réussi à accéder et à se maintenir dans le SI et à voler des informations confidentielles. Aujourd’hui, l’entreprise travaille toujours à la reconstruction de son système d’information.

Au travers des différents cas présentés, il apparaît que la notion d’anticipation s’avère fondamentale. Pour Pierre Texier, il est essentiel pour une entreprise de se poser les questions suivantes :
- Quelles sont les ressources sensibles ?
- Quelles sont celles qui sont exposées sur Internet ?
- Quels sont les événements que l’on peut redouter ?
- Quelles sont les corrections pragmatiques que l’on peut mettre en œuvre pour anticiper ces différents scénarios ?

Enfin, il est fondamental de disposer de logs et de traces, sans compter bien entendu la définition d’une procédure de réaction, de numéros à appeler et de personnes à prévenir en cas d’incident.


Pour en savoir plus sur les actions concrètes, pragmatiques et faciles à mettre en œuvre en entreprise, retrouvez les Quick Wins de la sécurité d’XMCO :

http://www.globalsecuritymag.fr/XMC...

http://www.globalsecuritymag.fr/XMC...




Voir les articles précédents

    

Voir les articles suivants