Vous connaissez les virus informatiques, vers et autres chevaux de Troie. Il existe une autre menace : parmi les plus insidieuses des agressions possibles venant du cyberespace Les APT : advanced persistent threats ou menaces persistantes avancées.
Elles mettent vos informations les plus sensibles en mesure d’être dérobées, et ce de manière furtive et pendant longtemps. Quand et si, vous vous apercevez de la réalité de l’attaque, il est trop tard car les semaines, les mois voire les années ont passé alors que vos données même les plus sensibles sont exfiltrées, chaque jour, et parviennent chez le prédateur.
Que ce soit pour voler les informations qui peuvent compromettre la réputation de votre personne ou celle de votre organisation, mais aussi pour dérober vos secrets de fabrication, vos projets de fusion ou d’acquisition, ou encore vos fichiers clients et votre comptabilité, les APT peuvent frapper toute structure, qu’elle soit grande ou petite.
On ne compte plus le nombre d’organisations victimes des attaques en APT, des milliers ? Des dizaines de milliers ? Quand ce n’est pas votre organisation, il est probable que d’autres autour de vous en soient victimes mais ignorent qu’elles sont sous le coup d’une attaque en APT. Le plus souvent d’ailleurs, les organisations n’avouent pas avoir été la cible de ce genre d’attaque.
Bientôt elles devront les déclarer à l’autorité compétente, en France la CNIL, car le règlement européen sur la protection des données personnelles : le RGPD, prévoit à partir du 25 mai 2018, de lourdes peines pour un établissement qui aurait laissé exfiltrer des données à caractère personnel parce que mal protégées par lui ou par un de ses sous-traitants. L’amende encourue peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial !
Les APT sont persistantes car le ver étant entré dans le fruit, ou autrement dit le maliciel vecteur de l’attaque étant installé dans le système d’information de la victime, le vol de ses données peut s’étaler sur une très longue période. Elles sont avancées pas tant par la sophistication de l’attaque qui est somme toute en général techniquement assez classique, mais par la phase d’ingénierie sociale qui précède l’attaque qui est souvent très avancée.
Le maillon faible de la chaîne de sécurité est l’utilisateur non méfiant, crédule, pressé, en un mot non sensibilisé, ni préparé à ce genre d’attaque. La sensibilisation des utilisateurs, de tous les utilisateurs de l’organisation, reste le meilleur rempart contre ce genre d’agression.
Des contre-mesures existent pour diminuer les risques liés à toutes les phases d’une attaque en APT. Nous allons explorer ces différentes phases et indiquer ce qu’il faut, ou ce qu’il aurait fallu faire, pour diminuer les risques, sachant que le risque zéro ne sera hélas jamais atteint.
Prédateurs et psychologues
Une attaque en APT débute toujours par une prise de renseignements pour obtenir une connaissance approfondie de la victime et de son système d’information. Que racontent les employés de l’organisation ciblée, et leurs amis, sur les réseaux sociaux ? Qu’écrivent-ils sur leurs conditions de travail, sur leurs projets, sur les outils et les applications qu’ils utilisent ? Si ça ne suffit pas pour reconstituer la topologie de leur réseau, pour connaître les endroits où l’information est stockée et utilisée, pour tout savoir sur les vulnérabilités qu’ils rencontrent, sur leurs responsabilités hiérarchiques… on leur téléphone.
Des prédateurs, experts en psychologie ont le génie de faire parler, les employés de l’organisation ciblée, surtout en flattant l’ego, parfois en proposant de l’argent ou des voyages, en faisant miroiter une opportunité de carrière ailleurs, très intéressante. Cela peut durer des jours, des semaines, des mois et l’attaquant a constitué une image très précise du système d’information et des vulnérabilités de sa future victime.
La contre-mesure est simple : il faut sensibiliser tous les employés à ce danger pour qu’ils ne révèlent rien de plus sur leur organisation que ce que le service de presse écrit dans ses communiqués. Il faut également les sensibiliser aux dangers de la messagerie, du web et en particulier des réseaux sociaux. Moins l’attaquant en saura sur sa victime, plus l’attaque en APT lui sera difficile à mener.
L’attaque informatique
Vient alors la phase active de l’attaque. L’introduction d’une amorce de maliciel dans le système d’information de la victime. Des employés ciblés, parmi les plus naïfs, reçoivent par exemple un courriel de leur direction avec un fichier PDF attaché. Mais le courriel ne vient pas de la direction. Il vient de l’attaquant qui a usurpé l’adresse, et le fichier PDF attaché est contaminé.
L’ouverture du fichier PDF permet à l’amorce du maliciel contenu dans le fichier attaché d’entrer dans le poste de travail de l’employé inconscient. L’attaque a réussi, le ver est dans le fruit.
La contre-mesure ici est de se méfier de tout courriel qui semble « bizarre ». Ne pas hésiter à téléphoner, avant de cliquer sur un PDF inattendu, au secrétariat de la direction pour savoir si ce courriel vient bien du directeur. C’est difficile à implémenter comme approche mais un petit clic peut se traduire par une grande claque, et mieux vaut se méfier des fichiers PDF ou autres, attachés à des courriels, tant la suite peut être redoutable.
L’amorce du maliciel se met en rapport, par l’Internet, en traversant coupe-feu et routeurs de l’organisation sans se faire remarquer, avec le serveur du prédateur pour télécharger ce qui va constituer le maliciel complet. Il peut même télécharger par la suite de nouvelles versions et devenir encore plus virulent, encore plus furtif.
Que faire ? Contrôler au niveau du coupe-feu tous les flux arrivant ou partant vers l’extérieur ? Bloquer tous ceux qui ne sont pas spécifiquement autorisés, ce qui est le but d’un coupe-feu ? Mais comment être sûr qu’une transaction est indésirable ?
Le maliciel ne peut agir sur le poste de travail contaminé qu’avec les privilèges qu’il a trouvés en arrivant. L’employé ne doit pas être administrateur de son outil de travail, c’est là une précaution élémentaire.
Le maliciel traque les mots de passe
Le maliciel bien conçu va explorer le poste de travail à la recherche du mot de passe administrateur. Pas facile car ne sont stockées, en général, que les empreintes des mots de passe, mais si le mot de passe de l’administrateur est « admin » ou le nom de l’organisation ou encore le mot de passe par défaut du fabricant, ça ne lui pose aucun problème pour l’obtenir. Le maliciel a acquis les privilèges de l’administrateur du poste de travail. Il a acquis tous les droits et sait alors se cacher dans les profondeurs du système d’exploitation, pour agir seulement dans les moments où il est programmé pour attaquer.
C’est au cours de cette phase que les contre-mesures peuvent se révéler être les plus efficaces. Une augmentation de privilège, sans raison valable, n’est assurément pas chose normale sur un poste utilisateur. Il existe des applications de contrôle qui surveillent les augmentations de privilèges et détectent ainsi les débuts d’attaques en APT. Citons par exemple les solutions de Balabit et le Bastion de la société française Wallix.
C’est le meilleur niveau où détecter ce genre d’attaque et le meilleur moment pour l’éradiquer, alors qu’il n’a pas encore sévi. Ensuite il est trop tard. Les attaques en APT bien conçues se jouent des anti-malwares et autres outils de détection et préventions des anomalies, d’autant plus qu’elles connaissent les comportements des outils de détection d’actions anormales, et savent les contourner.
Trop tard…
Le malware se répand alors par l’Intranet sur les postes des autres employés qui travaillent sur le même projet ou dans le même secteur. La première phase de l’attaque, celle de l’ingénierie sociale, a permis à l’attaquant d’avoir tous les renseignements nécessaires pour savoir qui fait quoi dans l’organisation victime. Ce n’est plus alors un poste de travail qui est compromis, c’est tous les postes de travail des employés qui travaillent sur le projet ou le secteur qui intéressent le prédateur.
Le maliciel exfiltre les données sensibles, souvent par messagerie, durant la nuit ou au petit matin quand personne n’est là pour détecter un fonctionnement anormal. Une analyse statistique approfondie des échanges vers l’extérieur peut, seule, déceler une telle attaque qui peut durer plusieurs mois ou plusieurs années.
Les dispositifs de DLP, data loss prevention ou prévention de la fuite de données, peuvent s’apercevoir de fonctionnements anormaux, encore faut-il qu’ils les détectent et que les responsables sécurité des données numériques sachent interpréter ces fuites de données.
Les applications de SIEM, security information and events management, qui détectent les attaques, les vulnérabilités et les non conformités à la politique de sécurité, couplées à des applications faisant appel au big data et à l’Intelligence Artificielle, et interprétées dans un SOC, security operating center, peuvent se révéler très utiles pour s’apercevoir à temps que l’organisation est sous une attaque en APT.
Et quand l’attaquant a suffisamment sévi sur le système de sa victime, il détruit le maliciel à distance et l’organisation ne saura jamais qu’elle a été attaquée, sauf si un de ses clients, prospects ou partenaires furieux de voir les données qu’il a confiées à l’organisation victime, bien visibles dans la nature, ou exploitées par des entités non autorisées, se plaint et entame des poursuites en justice.
Si on ne peut gérer soi-même la sécurité de ses informations, il reste la possibilité de confier ses données sensibles dans un cloud, à un prestataire reconnu pour sa compétence en sécurité du numérique.