Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jacques-Bruno Delaroche, Exclusive Networks : Le jeu du chat et de la souris est plus jamais que d’actualité dans la cyber

février 2020 par Marc Jacob

Face à la multiplication des attaques, les éditeurs multiplient les outils de défense. Jacques-Bruno Delaroche, Consultant avant-vente d’Exclusive Networks fait le point sur ce jeu du chat et la souris….

Global Security Mag : Quels sont les types d’incidents que les systèmes de détection parviennent généralement à bloquer aujourd’hui ?

Jacques-Bruno Delaroche : C’est une très bonne question qui n’est pas si simple. Aujourd’hui, nous pouvons découper la sécurité en fonction du positionnement des outils qui vont détecter les failles et détecter les éléments infectieux.

Pour l’essentiel, la sécurité était basée sur de la :
• Sécurité périmétrique (Firewall, IDS, IPS, …)
• Sécurité applicatif (WAF, passerelle SMTP, proxy, …)
• Sécurité réseau (NAC, ACL, sonde, AntiDDOS, protection DNS, …)
• Sécurité dans le cloud (CASB, WAF, Microsegmentation, …)
• Sécurité Endpoint (EDR, Antimalware, …)
• …

Ces outils de sécurisation ont permis de bloquer et de détecter bon nombre d’attaques basées sur des schémas, des outils, des virus, des malwares plus ou moins connus. La détection était basée sur des signatures, des schémas d’attaque ou de failles connues.
En réponse à ces outils, les attaquants ont développé d’autres méthodes. En plus des attaques dites « classique » à large spectre, on voit apparaitre de plus en plus des attaques ciblées. Ces attaques sont plus basées sur de l’usurpation d’identité, de l’élévation de privilège ou de la récupération de compte afin de récupérer de façon plus « discrète » des informations à revendre ou à exploiter.
Pour répondre à ces attaques (attaque au président, vol d’ID, …), il est apparu, ces dernières années, de nouveaux outils de sécurité comme :
• Sécurisation IOT,
• Sécurisation AD de Microsoft,
• La sécurisation comportemental (UBA ,…)
• …

Aujourd’hui ces types d’incidents peuvent pratiquement être tous bloqués, ou à défaut être identifiés. Mais c’est le jeu du chat et de la souris. De nouveaux schémas d’attaques vont apparaitre ou apparaissent déjà. Les outils pour les contrer suivront.

Global Security Mag : De quelles manières les cybercriminels contournent-ils les systèmes de détection en place pour commettre leurs méfaits ? Pour quels types d’attaques ?

Jacques-Bruno Delaroche : Il existe un bon nombre de moyens de contourner ces systèmes. Dans un premier temps, il faut comprendre que tout le monde n’a pas investi dans toutes les briques de sécurité, faute de moyen (temps, budget, connaissance). Voici trois exemples d’attaques que l’on retrouve souvent :
Le premier moyen est donc d’identifier des cibles non ou mal protéger.
Si l’attaque est ciblée, les attaquants peuvent faire du rebond par des partenaires de la cible qui seraient mal ou pas protéger.
Enfin un troisième moyen est de faire du social engineering.
Mais cela coute cher aux attaquants. La cybercriminalité reste un business. Pour assurer de bon profit il faut soit innover, soit faire avec des attaques déjà existantes mais en limitant les coûts.

Les cibles pas ou peu protégées

C’est le moyen le plus simple qu’ont les cybercriminels pour gagner de l’argent. Ceux-ci utilisent des systèmes d’attaques non ciblées uploadés sur des sites web infectés ou diffusé au travers de campagne de phishing.
Il existe sur certaine plateforme du dark web des sites web pré corrompues à vendre. Vous pouvez acheter pour une centaine d’euros (ou quelques bitcoin) des domaines actifs, des sites web, voir même des comptes liés aux sites. Un cybercriminel peut donc, à moindre frais, héberger une campagne d’attaque sur un site web « légitime » à l’insu des vrais propriétaires du dit site. Il est possible aussi, sur ces mêmes plateformes de vente illégale, de trouver des listes d’adresses mails valident pour une campagne de phishing.
Ces méthodes d’attaques sont simples et rapidement détectées par le plus grand nombre des mécanismes de sécurité. Mais multipliées, elles restent efficaces, donc toujours présentes.

Les attaques par rebond

Ce type d’attaque est plus insidieux. Le principe est d’attaquer une cible mais de façon indirecte. L’idée est de trouver un partenaire a une cible donnée, moins protégé et moins informé sur les risques sécuritaires. Aujourd’hui, beaucoup d’entreprises ont des partenaires, des fournisseurs, des filiales liés à leurs infras ou qui possèdent des données de l’entreprise. Le principe de ces attaques est de pouvoir voler des données d’accès a une cible par ou chez une seconde cible.
Exemple :
L’entreprise Alpha (bien sécurisée) à un fournisseur Beta qui s’occupe de la maintenance et de la MCO de l’ERP. L’entreprise Beta a donc en sa possession une copie ou un backup de la base ERP de Alpha pour pouvoir améliorer l’application métier et pour faire des mises à jour fréquentes de celui-ci.
Si aucune solution de « data masking » n’a été installée, des informations sur les comptes d’accès, sur les clients, sur les fournisseurs de Alpha se retrouvent sur les PC du fournisseur Beta. Il est alors simple pour un cybercriminel de récupérer des infos pas ce biais et de bypasser les sécurités de Alpha.

Attaque par social engineering

Le troisième exemple est le moins technique et le moyen le plus discret de récupérer des informations.
L’utilisation par la ruse, la tromperie ou la naïveté des comptes des utilisateurs de l’entreprise. On trouve de plus en plus d’exemples de ce type d’attaques dans la presse. Cette attaque cible une entreprise, mais aussi des employés de celle-ci. Il y a une vrais « traque » des employés que serait en capacité de fournir a des cybercriminels des clefs « valides » pour entrer dans l’entreprise. En général, des employés sont repérer sur des réseaux sociaux pro et perso. Une fois repéré un cybercriminel crée un contact avec celui-ci par le biais d’une passion commune, de cercle d’amis en commun ou tout autre intérêt (indiqué aussi sur les réseaux sociaux). Une fois un climat de confiance établi le cybercriminel peut fournir un outil de prise en main, de capture ou une backdoor caché derrière un super Tools, et prendre ainsi la main sur le PC « corporate » de la cible. Le cybercriminel utilisera les informations de connexion de l’employé ciblé et l’attaque qui suivra sera transparente pour tout le monde.




Voir les articles précédents

    

Voir les articles suivants