Plongée au coeur d’une cyberattaque
Cette tribune aborde l’anatomie d’une attaque utilisant la méthode de « spear phishing » pour pénétrer le Système d’Information d’une entreprise. Même si ce cas est de pure fiction, beaucoup d’attaques sont ou ont été très similaires dans le mode opératoire.
Le contexte des menaces
informatiques a beaucoup évolué ces dernières années et les attaques de
masse ont laissé place à des attaques ciblées, dont le mode opératoire
est beaucoup plus complexe. Retour sur l’anatomie d’une attaque.
Nous vous proposons, dans cet article,
d’aborder sous forme d’un exemple, l’anatomie d’une attaque utilisant la
méthode de « spear phishing » pour pénétrer le Système d’Information
d’une entreprise. Même si ce cas est de pure fiction, beaucoup
d’attaques sont ou ont été très similaires dans le mode opératoire et la
stratégie des cyberattaquants est souvent payante.
La cible
Créons,
pour notre scénario, une société commerciale, World Company, leader sur
son marché, qui vend des solutions à d’autres entreprises dans un
secteur très spécifique et sur un marché international très
concurrentiel. La valeur de cette entreprise est son savoir- faire, mais
surtout sa base client. C’est ce que les cyberattaquants vont chercher à
atteindre, mandatés par une société concurrente d’un pays émergent. Le
mode opératoire de l’attaque et les codes malicieux pour pénétrer le
Système d’Information vont donc être développés spécifiquement pour
cette cible.
Première phase : connaître la cible pour mieux l’atteindre
C’est ainsi que John Doe est sélectionné
pour être le point d’entrée des premières phases de l’attaque.
Ingénieur commercial, il a donc accès à la base client ainsi qu’aux
données regroupant tout ce qui a été vendu aux clients de son entreprise
avec les tarifs, les marges, les taux de remise… John Doe fait
régulièrement du golf avec d’anciens collègues. Il est dans la société
depuis quelques années et aimerait la quitter en espérant donner un coup
de pouce à sa carrière. Les cyberattaquants vont alors envoyer un mail à
Doe en usurpant l’identité d’un de ses partenaires de golf. Cet e-mail
propose à Doe de se connecter sur le site d’un cabinet de recrutement
pour réaliser un test d’aptitude.
John connaît l’expéditeur du mail et
donc ne se méfie pas, et clique alors sur le lien. Le site, construit
pour les besoins de l’attaque, lui propose de télécharger une petite
application pour réaliser ce test. Notre ingénieur exécute le fichier
qui lui retourne un message d’erreur indiquant qu’il ne peut pas
fonctionner sur son poste de travail. Pour lui, cela ne va pas plus
loin. Il ne voit malheureusement pas ce qu’il se passe sur son poste de
travail, et ne se rend pas compte qu’il vient d’ouvrir malgré lui une
brèche dans le Système d’Information de son entreprise. Doe ne va pas
non plus faire appel au support informatique de sa société pour signaler
qu’une application qu’il n’aurait pas dû utiliser au travail n’a pas
fonctionné !
Deuxième phase : prise de contrôle et infiltration
Vous
l’aurez deviné, l’application téléchargée et exécutée est un malware
qui va agir silencieusement sur le poste de travail; on parle alors
d’attaques furtives. Ce code forgé spécifiquement pour l’attaque est
unique, il ne sera donc pas détecté par les outils de sécurité dont la
reconnaissance est basée sur des signatures (antivirus par exemple).
Le ou les malwares pourront
éventuellement se répandre sur d’autres postes de travail pour faciliter
la recherche et scanner les différents lecteurs réseau qui hébergent
les données de l’entreprise. Cette phase peut prendre plusieurs mois, le
temps d’atteindre le but recherché, de manière silencieuse en restant
sous les radars des systèmes de sécurité traditionnels (low and slow).
Dernière phase : exfiltration
Une
fois le ou les fichiers identifiés, ils vont alors être uploadés vers
les serveurs des cybercriminels. Étant donné que nous parlons de
fichiers de quelques mégaoctets, ce flux chiffré va encore une fois
passer inaperçu. L’histoire se termine dans la majorité des cas par
l’effacement de toutes les traces et l’autodestruction des codes
malveillants utilisés. L’entreprise victime ne se rendra sûrement pas
compte qu’elle a subi un vol de données.
Film catastrophe ?
Face
à un tel scénario, finalement très simple dans le mode opératoire (mais
pas dans les techniques employées), on pourrait croire qu’il n’y a pas
vraiment de solutions pour éviter une attaque de ce type. En réalité,
même si le risque zéro n’existe pas, il est possible de s’y préparer
pour faire face à ce type de menaces. Étant donné que les
cyberattaquants vont cibler les données ou biens essentiels à l’activité
de l’entreprise, la stratégie de sécurité doit se focaliser sur ces
éléments. Les solutions autour de la sécurité des données peuvent aider
les entreprises à prendre des mesures préventives pour protéger ce qui
doit l’être.
Par Nicolas Leseur, chef de produit et innovation sécurité, virtualisation, stockage chez Telindus France
agrandir la photo
La sensibilisation
des utilisateurs va aussi pouvoir permettre de contrer les premières
phases d’une attaque comme celle que nous avons décrite. Doe n’aurait
peut-être pas cliqué sur le lien dans le mail qu’il a reçu s’il avait
regardé un peu plus en détail. Il se serait alors rendu compte que le
nom de son interlocuteur ne correspondait pas à son adresse e-mail
habituelle. Il aurait alors pu alerter son RSSI.
De plus, il est fortement déconseillé de
lancer un fichier exécutable sur son poste de travail si l’on n’en
connaît pas la nature exacte. Les éditeurs de sécurité sont au fait de
ce type de menace. Il existe donc de nouvelles solutions permettant, via
une analyse en environnement sécurisé et maîtrisé, de tester l’impact
d’un code supposé malicieux. Il est alors possible d’investiguer pour
rechercher les traces de ces malwares sur le Système d’Information et de
les bloquer.
agrandir la photo
agrandir la photo
agrandir la photo
agrandir la photo
