APT : détecter l’espion qui est dans votre système d’information
Que signifie le fait d’être la cible d’une Menace Persistante Avancée (APT ou Advanced Persistent Threat en anglais) ? Sans aucun doute, les APT sont des menaces beaucoup plus subtiles, intelligentes et dangereuses que les précédentes qui étaient aléatoires et généralement moins sophistiquées. Quoique pas complètement nouvelles, ces pratiques des cybercriminels nécessitent une approche différente pour s’en prémunir. La nouveauté fondamentale est qu’elles obligent à un constat alarmant de premier abord : il est impossible de garantir qu’aucun élément du système d’information ne sera jamais compromis. Partant de là, il n’est plus possible de considérer comme un paradigme la confiance dans le système d’information lui-même, y compris pour les infrastructures opérées en propre.
Les cybermenaces sont beaucoup plus sophistiquées, subtiles, complexes et discrètes aujourd’hui, et nous ne pouvons plus compter uniquement sur les défenses basées sur les bases de connaissances (signatures) pour les combattre. Nous devons battre l’intelligence par l’intelligence. Ceci explique d’ailleurs l’intérêt et l’utilisation de plus en plus massive de l’intelligence artificielle dans le domaine de la cyberdéfense.
Mais plus précisément, en quoi consistent ces nouvelles menaces ?
Le premier point important à comprendre, est que la nouveauté ne réside pas dans les aspects purement technologiques de l’attaque, ces dernières mettent en œuvre et utilisent peu ou prou les mêmes outils que les attaques plus classiques : des virus, des vers, des chevaux de Troie, des exploitations de vulnérabilités connues ou non, etc. En revanche, ce qui change, c’est la méthode, une attaque persistante avancée est architecturée comme un projet en tant que tel. Surtout, elle est ciblée et elle dispose de moyens. Ciblée car, contrairement aux attaques classiques qui sont lancées au hasard en espérant toucher quelques victimes et ont donc des taux de réussite assez faibles, elles sont destinées et élaborées spécifiquement pour une et une seule victime choisie et connue à l’avance. Elles disposent également de moyens : moyens en temps, puisque l’objectif est la réussite de l’attaque, peu importe combien de temps sera nécessaire; moyens financiers, permettant de s’adjoindre les compétences de spécialistes du domaine, d’acheter des vulnérabilités non encore divulguées (les fameuses 0-day), de louer les services d’infrastructures malfaisantes permettant de réaliser certaines phases préliminaires de l’attaque (Botnet pour l’envoi de spams, ressources pour dénis de services, plates-formes de génération de code, …).
Ces attaques ne font pas exclusivement appel aux moyens techniques pour infiltrer le système d’information de la victime, mais elles utilisent aussi des méthodes issues du renseignement comme l’ingénierie sociale. Une phase importante dans la préparation consiste à collecter des informations sur la cible. Les informations utiles sont de tous types : quels sont les composants du système d’information, quels sont les sous-traitants de l’entreprise, quels services sont opérés en interne, externalisés, qui sont les différentes personnes clé (PDG, DG, DRH, DAF, …), leur état-civil, leur centres d’intérêts, … Aujourd’hui, à l’ère de la communication universelle et du développement des réseaux sociaux une bonne part de ces informations sont disponibles très facilement sur le net. Pour le reste, elles seront obtenues via des phases d’ingénierie sociale auprès de collaborateurs de l’entreprise ou de leurs proches.
Cette étape, aussi importante soit-elle, ne constitue qu’une des phases de cette attaque. Il y aura ensuite très probablement des tentatives d’attaques beaucoup plus classiques visant à savoir comment réagit le système d’information, quelles sont les procédures de protection mises en œuvre, en déduire les règles du plan de sécurité et isoler ainsi les parties les plus vulnérables. Très souvent également dans le cycle de vie de ces attaques, il y aura une ou plusieurs tentatives d’hameçonnage ciblé (spearfishing) et/ou d’arnaque au président (whaling).
Dans la plupart des cas c’est à partir de ce moment que le recours à des vulnérabilités non encore divulguées (0-day) est effectué. C’est la primo-infection proprement dite qui va ensuite dérouler tout un ensemble de procédures plus ou moins longues et complexes selon le contexte et les capacités de défense de la cible afin de s’implanter discrètement et durablement dans le système d’information de la victime.
Un peu plus avant dans le déroulement de l’attaque, un ou plusieurs agents de type botnet (créant ainsi une ou plusieurs machines dont les attaquants peuvent prendre le contrôle) installés durant les phases précédentes sont activés et c’est à partir de ce moment que l’exfiltration des informations commence. Généralement, les attaquants utilisent ce point d’entrée afin d’obtenir des comptes d’accès aux différents points névralgiques du système d’information (serveurs, base de données, routeurs, pare-feux, …) puis d’en augmenter les privilèges. Il peut s’écouler plusieurs mois, voire années dans les cas extrêmes, entre l’identification de la cible et la première récupération d’information par les cybercriminels. Un des objectifs importants des cybercriminels dans le contexte des APT, outre de récupérer des informations qui seront monnayées par la suite, est d’être extrêmement discret afin de ne pas éveiller les soupçons de la victime. En effet, une attaque APT reste un investissement important pour les organisations cybercriminelles et une fois qu’elle a abouti, il est important qu’elle reste en place le plus longtemps possible afin de rentabiliser au maximum les investissements réalisés. C’est pour cette raison que, en parallèle de toutes les actions qui viennent d’être décrites, une part non négligeable des efforts déployés par les cybercriminels consiste à effacer les traces d’activités suspectes tout au long du cycle de vie de l’attaque.
Les frontières du si deviennent floues
Nous constatons ici, que la cybercriminalité a aujourd’hui de nombreuses similitudes avec l’âge d’or de l’espionnage d’antan – infiltrer, se cacher et extraire des informations de valeur ou sensibles sans être détecté. Cette approche est très efficace dans un monde où les informations numériques sont de plus en plus précieuses.
L’infiltration furtive en ligne visant à voler des informations confidentielles et de valeur est le but ultime des cybercriminels actuels. Il est clair que les organisations doivent être particulièrement vigilantes et préparées pour détecter ces nouveaux types de menaces endémiques et continues. L’injection et l’exécution réussies de codes malfaisants au sein d’un système d’information peuvent faire des ravages au sein d’une organisation, le plus grand risque consistant dorénavant dans le vol de propriété intellectuelle. Avantage concurrentiel, informations d’initiés, propriété intellectuelle de valeur et cessible sont autant de données précieuses aussi bien pour les cybercriminels professionnels que pour les attaquants cautionnés (fait encore non confirmé mais plus que probable) par les Etats. Les données personnelles sont bien entendu aussi des cibles de choix pour être revendues. Et cela devient d’autant plus grave dans le contexte de la nouvelle directive européenne (GDPR ) et sa mise en application dans les Etats membres, ne serait-ce qu’à cause des sanctions prévues.
Dans ce contexte, un autre point pose problème. En effet, l’évolution des usages comme le BYOD , ou l’adoption de plus en plus massive des technologies liées au cloud favorisent les attaques avancées, ou pour le moins leur offrent plus de possibilités. Le BYOD souhaité, voulu, accepté ou subi de fait, avec des équipements non maîtrisés par l’entreprise et utilisés à des fins à la fois professionnelles et personnelles augmente le risque d’exposition. Un simple lien sur Facebook vers une page Web infectée peut s’avérer être le point d’entrée dans le réseau d’une organisation. Les cybercriminels deviennent très compétents dans le ciblage des personnes avec l’objectif de les inciter à leur insu à donner accès à leurs appareils et, par conséquent, au réseau de l’entreprise. L’arrivée toujours plus importante de services cloud de tous types (Saas, IaaS, PaaS, privé, public, hybride…) rend les frontières du système d’information floues, plus difficiles à gouverner et potentiellement poreuses.
Reconnaître l’intrus
Le tableau dressé ici est bien noir, et il semble que ces attaques soient une fatalité contre laquelle il paraît difficile d’agir et de lutter. Par chance, il existe encore des moyens pour détecter les ‘espions’ qui tentent d’infiltrer, et même ceux qui ont eu accès au système d’information et s’y sont implantés. Comme toute activité, de quelque type que ce soit, elles laissent toujours des indices, des traces. Il suffit de chercher les signes et, dans le cas d’un ‘espion’ présumé, on le pousse à commettre des erreurs qui permettront de l’identifier et de le confondre.
Le principe de base de la détection d’espions, est l’analyse comportementale. L’une de ces technologies dont nous entendons beaucoup parler depuis quelque temps est le sandboxing. L’idée assez simple consiste à analyser le comportement d’un fichier, le plus souvent exécutable (c’est-à-dire un programme ou une application) en le faisant tourner dans un espace protégé, sécurisé et confiné afin d’en observer les effets. Il ne s’agit pas d’une idée nouvelle, mais cette approche se révèle être de plus en plus utile dans la lutte contre les APT.
Les logiciels malfaisants ont toujours essayé de se dissimuler et les hackers d’aujourd’hui rendent leurs logiciels ‘conscients’ de leur environnement. Le sandbox offre un environnement virtuel étroitement contrôlé dans lequel seules les ressources de base sont fournies pour permettre aux logiciels suspects ou inconnus de s’exécuter, et où l’accès au réseau et aux autres fonctions critiques est restreint. Les logiciels malfaisants sont dupés sur le fait qu’ils ont atteint leur destination finale de sorte qu’ils dévoilent leurs véritables comportements alors qu’ils sont observés de près. Mais comment savoir quels fichiers ou logiciel doivent être analysés de manière plus approfondie dans un tel environnement ? Ce traitement a en effet un coût en terme de ressource et de temps de traitement. Comment déduire leur dangerosité ou au contraire leur innocuité ?
Il existe, fort heureusement, des indices qui permettent de répondre à ces questions. Il y a des comportements d’exfiltration et exploitations de failles qui, soit isolément soit conjointement, peuvent indiquer une activité de logiciels dangereux.
Certaines charges malveillantes génèrent aléatoirement des chaines d’adresses IP visant à faciliter leur propagation, ou bien elles tentent d’établir une connexion avec un serveur de commande et de contrôle dans le but d’exfiltrer des données ou de faire appel à d’autres ressources d’attaques via un botnet. Si les détails du serveur distants sont identifiés, c’est comme si un espion présumé mis sous surveillance se dévoilait lorsqu’il appelle son maitre-espion ou son officier de liaison.
En outre, des cas avérés d’attaques ciblées avancées ont impliqué de nombreuses techniques pour dissimuler le vrai sens et l’intention du code malfaisant en JavaScript et, bien sûr, le logiciel d’attaque va certainement imiter le comportement du terminal ou de l’application hôte pour éviter la détection. Par conséquent, la tendance à avoir des logiciels malfaisants chiffrés au sein des charges d’attaque expose l’ensemble du trafic chiffré à un risque élevé.
Pour une protection plus efficace et un meilleur contrôle, le sandboxing doit idéalement opérer dans le cadre d’une stratégie multi-couches. La première ligne de défense reste encore aujourd’hui l’anti-malware opérant en temps réel. Si les menaces s’avèrent appropriées , les fichiers suspects peuvent être soumis à l’analyse d’une solution de sandboxing. Cette approche unifiée et multi-couches offre plus de contrôle et de rapidité pour contrer une attaque potentielle. Et c’est nécessaire. De la même façon que la cybercriminalité devient plus évoluée et multi-couches, la stratégie de sécurité de l’organisation doit l’être également.
Risque permanent
Contre toute attente, il reste encore de nombreuses entreprises et organisations qui pensent que rien de tout cela ne les concerne. La forte médiatisation autour de la ‘cyber-guerre’ déchainée entre les Etats-Nations soutient cette fausse idée. Cependant, dans le cyber-espace, il n’y a pas de frontières et toutes les organisations, grandes ou petites, sont une cible potentielle. Il est très facile pour les cybercriminels compétents d’utiliser la voie des réseaux sociaux pour accéder aux appareils et réseaux. Rien ne les empêche de cibler les organisations, surtout s’ils partent du principe que l’organisation n’est pas préparée et est vulnérable. Et avec des outils de cybercriminalité qui deviennent plus accessibles, qu’est-ce qui empêche des concurrents indélicats d’utiliser ces méthodes ? La frontière entre intelligence économique, espionnage industriel et guerre économique est parfois très ténue. De plus le modèle économique des cyber-criminels et tout à fait viable et pérenne, il n’est donc pas envisageable que ce type d’activité cesse naturellement. Les organisations doivent se préparer à l’attaque, l’anticiper et mettre en œuvre toutes les contre-mesures qui s’imposent.
Que faire ?
Face aux APT, les défenses traditionnelles de sécurité IT sont obsolètes et désormais inadéquates. Il est de plus en plus urgent pour les organisations de reconnaître et d’accepter les risques réels posés par ces menaces avancées et d’adopter une approche multi-couches plus moderne et intelligente pour la détection et la résolution des menaces. Le sandboxing est un des outils clé dans cette approche. Mais, au-delà de cette technologie, c’est bien l’approche cybersécurité toute entière qu’il faut repenser afin de la rendre plus intelligente, auto-adaptative et automatisée. Aucune technologie de contre-mesure, quelle qu’elle soit, ne peut permettre de se prémunir de tous les risques et de tous les types d’attaques. C’est un ensemble de fonctions, collaborant collectivement qui va permettre d’atteindre l’objectif de protection. Par exemple, la solution de sandboxing va, suite à l’identification d’une menace, non seulement répondre sur le niveau de risque du fichier qui lui a été soumis mais générer automatiquement une signature anti-malware adaptée qu’elle va diffuser à tous les points de filtrage (passerelles, messagerie, pare-feu de nouvelle génération, poste de travail, …) permettant ainsi très rapidement et de mettre en œuvre automatiquement des mécanismes de segmentation et de confinement.
Nous voyons ici qu’il s’agit bien d’un écosystème de sécurité qu’il faut déployer, disposant d’une cohérence, d’une cohésion et d’une synergie automatisée entre toutes les fonctions afin d’élever le niveau global de la sécurité et d’apporter au final plus d’intelligence à l’architecture et l’infrastructure de sécurité. La définition de la politique et de la posture de sécurité reste quant à elle de la responsabilité des CISO, RSSI, DPO . Ils devront élaborer un plan d’actions définies, reflétant la vision stratégique de la direction en matière de sécurité des systèmes d’information. A ce niveau ils ont également un rôle de conseil, les directions générales étant parfois assez loin des réalités en ce domaine. Cette politique de sécurité des systèmes d’information est intrinsèquement liée à la sécurité de l’information, ainsi elle ne se limite pas à la sécurité informatique. Elle permet de définir les objectifs à atteindre et les moyens accordés pour y parvenir en se basant sur une analyse des risques en matière de sécurité des systèmes d’information. Aujourd’hui il fait consensus que cette PSSI devra intégrer la description et la mise en place des mécanismes de gestion de crise spécifiques aux crises de cybersécurité (fuite de données, blocage des systèmes…). C’est malheureusement, un point souvent omis y compris dans les grandes entreprises et organisations.
Cet article a été initialement publié par le site Variances.eu le 20 octobre 2017. Il est repris par Vox-Fi avec due autorisation.
Cet article a été publié sur Vox-Fi le 6 novembre 2017.