Bien comprendre la chaîne d’une cyberattaque – Le Monde Informatique
Bien comprendre la chaîne d’une cyberattaque – Le Monde Informatique
Tamlin Magee IDG (adaptation Jean Elyan) , publié le 16 Juillet 2018
10-13 minutes
Une bonne compréhension de l’anatomie et des processus successifs mis en oeuvre dans une cyberattaque réussie permet de trouver des parades et d’atténuer de futures attaques.
L’armée américaine a été la première à formaliser le concept de « kill chain » ou « chaîne de frappe », six étapes définies par l’acronyme F2T2EA (Find, Fix, Track, Target, Engage, Assess) qu’il faut effectuer pour atteindre une cible. Les stratégies de défense aérienne ont beaucoup travaillé pour réduire ce cycle F2T2EA : de 24 h lors de la Guerre du Golfe, il était passé à 12 minutes, 15 ans plus tard. C’est une chaîne, dans le sens où la défaillance d’un des maillons peut mettre en péril tout le processus d’attaque pu de riposte. En 2011, l’entreprise de défense Lockheed Martin a mis au point un modèle de chaîne de frappe qui s’applique aux menaces de cybersécurité, ce qu’elle appelle cette fois-là « cyber kill chain » ou « chaîne de frappe cybernétique ». Cette chaîne répertorie sept actions qui permettent généralement de réussir une cyberattaque :
– La reconnaissance : c’est la collecte d’informations et le repérage de la cible. Il s’agit soit de collecte d’adresses électroniques, soit de techniques d’ingénierie sociale. Rechercher la cible sur les réseaux sociaux, ou toute autre information disponible sur le web. Ou encore, rechercher des serveurs ouverts, ou des serveurs connectés à Internet et essayer de cibler ceux qui utilisent des informations d’identification par défaut, assez faciles à trouver à l’aide de Shodan par exemple.
– L’armement : pour Lockheed, l’armement consiste à « coupler un exploit avec une porte dérobée dans une charge utile livrable ». En d’autres termes, il s’agit de construire un système d’attaque – trouver un moyen de compromettre le réseau, trouver le bon logiciel malveillant pour accomplir la mission, par exemple un cheval de Troie avec accès à distance, et une technique pour tromper la cible et l’inciter à déclencher l’attaque.
– La livraison : dans cette phase, il s’agit de livrer un pack d’attaque à la victime par e-mail, web, USB, etc. Cette étape, plutôt explicite fait référence à la logistique d’acheminement de la charge utile de A à B à C.
– L’exploitation : une fois la livraison effectuée, il faut une solution pour exploiter la vulnérabilité sur le système cible pour exécuter le code malveillant.
– L’installation : c’est l’installation dudit code.
– La commande et le contrôle : Il s’agit du « canal de commande qui va servir à manipuler la victime à distance ». Maintenant que la cible est totalement compromise, le système compromis va retourner un Ping à l’attaquant. Le signal passe généralement par l’intermédiaire d’un bot, d’un zombie ou d’un autre système compromis, afin de brouiller la piste qui permettrait de remonter à l’attaquant initial.
– Les actions sur les objectifs : c’est là que l’attaquant effectue la mission qu’il s’était donnée au départ : espionner, compromettre des systèmes plus profonds sur le réseau, voler des identifiants, installer des ransomwares ou tout simplement faire des dégâts dans un système.
À l’image de la « kill chain » militaire, une cyberattaque typique doit inclure toutes ces étapes pour réussir. Aujourd’hui, la majorité des attaques suivent plus ou moins ce schéma. Mais on peut raisonnablement imaginer qu’actuellement les pirates développent des attaques plus sophistiquées et ne pas exclure que des attaques faisant davantage appel à l’automatisation, voire même à l’intelligence artificielle, sont peut-être menées à l’état sauvage. Cependant, la plupart des pirates utilisent les méthodes qui sont à leur portée : Phishing, ransomware worms, etc.
Se défendre à chaque étape de la chaîne d’attaque.
Dans un livre blanc publié en 2015 par Lockheed Martin (PDF), les auteurs passent en revue certaines mesures de précaution que les entreprises peuvent prendre pour limiter les dommages à chaque étape de la chaîne.
La reconnaissance : elle est difficile à défendre parce qu’elle peut souvent s’appuyer sur l’exploitation d’informations disponibles sur le Web pour établir un profil détaillé de la cible. Après un vol de données, il arrive souvent que ces données soient vendues sur le Dark Web pour quelques dollars, ou se retrouvent à la vue de tous sur Internet. Par exemple, après le piratage massif de 68 millions de comptes DropBox en 2012, des données avaient été retrouvées sur Pastebin en 2014. L’entreprise peut néanmoins collecter les logs des visiteurs pour faire des recherches ultérieures en cas d’attaque. Lockheed Martin conseille aussi de scruter les données des navigateurs et de créer des alertes pour repérer les comportements de navigation typique des cyberattaques. Ensuite, si l’entreprise soupçonne une action de reconnaissance, elle peut mobiliser des ressources de défense sur les personnes ou les technologies, ce qui lui donnera un avantage considérable pour se protéger.
– L’armement : cette phase concerne essentiellement l’attaquant, de sorte qu’il est peu probable de savoir à l’avance à quoi ressemblera la charge utile avant l’attaque. Mais il est toujours possible d’appliquer des règles de mises à jour rigoureuses dans toute l’entreprise et de sensibiliser les employés. Deux atouts sur lesquels misent généralement les attaquants sont en effet le défaut d’application des correctifs ou des mises à jour et l’erreur humaine. Si une entreprise repère une attaque, elle peut analyser le malware si elle en a les ressources, éventuellement dans une machine virtuelle sécurisée. Elle pourra ainsi comprendre pourquoi et comment le malware est construit, mais aussi identifier des points de vulnérabilité dans ses systèmes. « Il faut tout examiner ! » conseille encore Lockheed Martin.
– La livraison : toute entreprise ayant une compréhension rudimentaire des meilleures pratiques en matière de sécurité devrait mettre en place des solutions de protection périmétrique, c’est-à-dire des pare-feu et, idéalement, un balayage actif des menaces sur le réseau lui-même, pour identifier d’éventuelles anomalies. Mais le meilleur pare-feu ne sert à rien s’il n’a pas été correctement configuré par une personne qui sait ce qu’elle fait. Le pare-feu ne peut être efficace s’il se limite à une activité de journalisation sans empêcher ou signaler les activités malveillantes. Encore une fois, Lockheed Martin recommande de sensibiliser les utilisateurs et de réaliser des tests pour éprouver les salariés. Beaucoup d’attaques commencent par l’envoi de courriels factices aux employés. Elles permettent déjà à l’attaquant d’évaluer le niveau de vigilance de l’entreprise. Mais, encore une fois, les humains sont humains – et ils font des erreurs. Du point de vue technique, il serait utile de faire des analyses de vulnérabilité et de demander à des équipes de réaliser des tests de pénétration réguliers. Lockheed Martin recommande aux entreprises de durcir les points d’extrémité, notamment de restreindre les privilèges administrateur à l’aide de Microsoft Enhanced Mitigation Experience Toolkit (EMET) et d’ajouter des règles personnalisées pour empêcher l’exécution de shellcode. Le contracteur recommande encore de « tout vérifier », en particulier les points d’extrémité, pour essayer de comprendre la racine de l’exploit.
– Installation : si l’entreprise constate que des logiciels malveillants ont été exécutés sur son réseau, le premier conseil des auteurs du rapport de Lockheed Martin est ne pas paniquer. « Faites de votre mieux pour isoler l’attaque, même si cela suppose de réduire les opérations courantes de la journée ». Ils recommandent également d’auditer les processus d’extrémité pour rechercher de nouveaux fichiers inhabituels et d’utiliser un système de prévention d’intrusion hôte pour alerter ou bloquer les chemins les plus couramment utilisés pour réaliser des installations. Encore une fois, le mieux est d’essayer de comprendre le malware, savoir s’il est du type Zero-day, si sa signature est ancienne ou récente, les privilèges qu’il cherche à obtenir, où il est localisé, et comment il fonctionne.
Dernière chance pour bloquer une attaque
Quant à l’étape de « commande et de contrôle », Lockheed Martin la définit comme « la dernière chance pour la cible de bloquer l’opération… Car, si les attaquants ne peuvent pas envoyer leurs ordres, la cible peut encore bloquer l’attaque ». Mais, cela ne peut pas s’appliquer à tous les malwares, en particulier ceux qui visent un sabotage systématique ou qui veulent créer le plus grand désordre possible. Voici ce qu’il est possible de faire selon Lockheed : lancer une analyse des logiciels malveillants sur l’ensemble de l’infrastructure, durcir le réseau en réduisant le nombre de points de présence Internet, et mettre en place des proxies pour tous les types de trafic, y compris HTTP et DNS. L’entreprise peut également introduire des blocs de catégories de proxy, des gouffres ou « sinkhole » DNS et s’informer sur les attaques en cherchant sur Internet ce que l’on sait peut être déjà sur l’attaque et sur l’infrastructure d’attaque.
– Actions sur les objectifs : de nombreuses attaques restent inaperçues pendant des jours, des semaines, des mois, voire des années. Donc, si l’entreprise détecte une intrusion, les auteurs estiment que la bataille est à moitié gagnée. Elle peut déjà prendre rapidement des mesures d’atténuation. Elle peut par exemple chercher si des données ont été exfiltrées et lesquelles, si le malware s’est répandu (en particulier latéralement), rechercher si des identifiants non autorisés ont été utilisés. Selon Lockheed Martin, c’est le moment de sortir son manuel d’interventions en cas d’incident. Cela implique aussi de parler avec les cadres au plus haut niveau de l’entreprise – et prévoir aussi de s’entendre sur une stratégie de communication avec le service concerné. Elle devra probablement prendre contact avec les autorités locales chargées de la protection des données et avec la police, et éventuellement divulguer l’attaque au public.
En terme d’attaques, la probabilité est plutôt de l’ordre du « quand » que du « si », et le grand public comprend cela de mieux en mieux, de sorte qu’il est préférable, du point de vue des relations publiques, d’être ouvert et transparent dès le début, plutôt que de se taire (comme l’avait fait Uber). Selon la gravité de l’attaque, l’entreprise devra peut-être faire appel à des experts externes. Il faudra aussi qu’elle essaye de tirer les leçons de l’attaque et d’améliorer ses processus de sécurité pour réduire à l’avenir des risques d’attaques similaires.