Ce que les entreprises devraient savoir au sujet des menaces persistantes avancées – Par Christophe Auberger, Directeur Technique chez Fortinet

hacker

Google, l’usine d’enrichissement nucléaire de l’Iran, le gouvernement du Pakistan, le département Américain de la Défense… la plupart des plus grandes entreprises et gouvernements ont été  victimes de Menaces Persistantes Avancées (Advanced Persistent Threats ou APT) au cours des deux dernières années. L’étendue de ces attaques Internet est en réalité beaucoup plus vaste que l’on ne l’imagine. Elles visent soit à détruire ou à voler des données diplomatiques sensibles ou le savoir-faire des entreprises, soit à faire de l’argent, ou encore la combinaison des trois. Compte tenu de cette situation, il est urgent pour les entreprises d’être prêtes à réagir face à ces attaques.

Les Menaces Persistantes Avancées sont des attaques ciblées, souvent organisées par les Etats nations, et conçues pour endommager ou voler des informations sensibles. Une de leurs particularités est qu’elles sont difficiles à identifier et peuvent rester inaperçues pendant des années. Par exemple, Information Week a indiqué en Mai 2013 qu’une attaque APT a été lancée plusieurs années auparavant contre le gouvernement Pakistanais et les entreprises mondiales d’exploitation minière, automobiles, militaires et d’ingénierie. Il a été estimé que l’attaque a débuté courant 2010 (voire peut-être plus tôt). Ces organisations n’ont pas été en mesure de faire face à ces attaques sophistiquées du fait des défenses de sécurité IT traditionnelles qu’elles avaient en place.

Comment les hackers procèdent-ils pour lancer une APT?

Alors que chaque APT est personnalisée pour atteindre la cible visée, leur cycle de vie se compose généralement des étapes suivantes: choisir une cible, puis faire quelques recherches sur l’entreprise – ses employés, politiques, applications et systèmes qu’elle utilise – et lister précisément les cibles humaines potentielles à l’intérieur de l’organisation.

Après cela, l’attaquant trouve des techniques appropriées, telles que l’ingénierie sociale ou la distribution d’exploits à l’aide d’emails malveillants, pour planter un logiciel malveillant d’accès à distance sur l’un des ordinateurs cibles.

Une fois que l’attaquant est à l’intérieur du réseau cible, il tente d’exploiter les vulnérabilités sur d’autres ordinateurs internes pour bénéficier d’un accès plus important au sein du réseau. Grâce à l’accès au réseau, les données peuvent facilement être exfiltrées. Les mots de passes, dossiers, bases de données, comptes email et autres données potentiellement précieuses peuvent être renvoyées à l’attaquant.

Enfin, même après que le vol des données soit terminé, un attaquant peut décider de rester présent sur le réseau et peut continuer à observer ses données. 

Quel est l’arsenal d’outils qu’un attaquant peut utiliser pour créer une APT?

Pour créer une Menace Persistante Avancée, les outils et techniques utilisés par les attaquants sont souvent les mêmes que ceux associés aux cyber-attaques, tels que:

  • Les Logiciels Malveillants: certains hackers utilisent des logiciels malveillants spécialement conçus pour exploiter l’ordinateur d’une victime, tandis que d’autres utilisent des outils de logiciels malveillants “prêts à l’emploi”, facilement accessibles en ligne.
  • L’Ingénierie Sociale: généralement, un attaquant crée des emails très spécifiques, de type harponnage (spear-phishing en anglais), dotés de pièces jointes d’apparence inoffensives, qui vont probablement être ouverts par la cible.
  • Zero-Day et autres Exploits: Une zero-day est une vulnérabilité dans un logiciel qui permet à un attaquant d’exécuter du code de manière non-intentionnelle ou de prendre le contrôle d’un ordinateur cible. Ces exploits se trouvent généralement dans des attaques de type harponnage et watering hole (ou trou d’eau en français).
  • Infiltrés et Recrues: Parfois un attaquant recrute un des salariés de l’entreprise pour lancer une  attaque. C’est souvent le seul moyen pour un attaquant d’atteindre un ordinateur cible qui n’est pas connecté à Internet.
  • Certificats Falsifiés et Faux: Un attaquant peut essayer de falsifier ou d’imiter un certificat SSL pour obtenir d’une victime qu’elle se rende sur une page qui prétend provenir d’un site sûr. 

Qui se cache derrière une APT?

Comme pour toutes les cyber-attaques, il est très difficile de déterminer l’origine et l’attribution d’une APT. Par exemple, un logiciel malveillant pourrait être développé par un citoyen européen qui utilise un kit de développement de logiciels en langue chinoise et des textes de certaines organisations militaires chinoises, mais qui se trouve hébergé sur un site Internet en Russie et qui route l’attaque pour qu’elle semble venir de Chine.

Il n’y a que quelques groupes mondiaux qui ont la capacité, les compétences, le financement et l’infrastructure pour lancer une APT. Ils ciblent généralement les entreprises et gouvernements étrangers pour exfiltrer à la fois les secrets d’états et le savoir-faire des entreprises. Les médias peuvent également être ciblés pour traquer les dissidents. Ainsi, en Janvier 2013, le New York Times a publié un rapport affirmant que des hackers chinois, qui étaient soupçonnés d’être parrainés par un état, avaient infiltré leur réseau. L’attaque a été conçue pour trouver des emails et documents liés à un article écrit par le NYT au sujet des proches du Premier Ministre de Chine.

La Russie a également la capacité de lancer des attaques sophistiquées, mais pour l’instant, il n’y a pas eu de preuves liant le gouvernement Russe à une attaque spécifique. Avec certains des meilleurs crackers informatiques au monde en Russie, on peut supposer que le Federal Security Service (FSB) de Russie a une équipe ou des équipes en place pour surveiller et infiltrer des organisations et nations.

Les Etats-Unis de leur côté ont une vaste “cyber armée.” Par exemple, Stuxnet, l’une des plus célèbres attaques, a été utilisée avec succès par les USA en partenariat avec l’Israël pour perturber les plans d’enrichissement nucléaire de l’Iran.

D’autres pays peuvent également avoir développé leurs propres cyber-armées et groupes APT. On ne sait que peu de choses sur les capacités du reste des nations et états du G20 comme la Syrie, Corée du Nord, l’Iran et autres nations au Moyen-Orient. Mais on peut affirmer sans crainte que la plupart de ces nations ont au moins étudié la possibilité de tirer profit d’une APT.

Comment les entreprises peuvent-elles réduire le risque en matière d’APT?

Afin de se protéger des ATP, les entreprises doivent implémenter une stratégie de défense basée sur plusieurs couches de protection. Il est important de comprendre qu’il n’y a pas qu’une seule fonction de sécurité réseau pouvant arrêter une APT.

Il existe des méthodes spécifiques pour réduire le risque en matière d’APT. Il s’agit de :

  • Partenariats de Sécurité: Avoir un solide partenariat avec un fournisseur de sécurité, qui peut fournir des informations et renseignements actualisés sur les menaces au personnel IT ainsi qu’une méthode précise à suivre lorsqu’un incident est détecté.
  • Défense Multi-Couches: une telle défense demande l’implémentation de fonctions de sécurité clés telles que le filtrage Web/réputation IP, la liste blanche/liste noire, le contrôle des applications basé sur les utilisateurs et appareils, le DLP, l’IPS/l’IDS, le sandboxing basé sur le cloud et l’anti-virus ou le contrôle des terminaux. Toutes ces caractéristiques sont essentielles pour arrêter les applications malveillantes, logiciels malveillants et activités suspectes potentielles et ainsi empêcher les informations sensibles de quitter le réseau.
  • Education de l’Utilisateur Final: Il est essentiel d’éduquer les employés au sujet des cyber-menaces et du bon usage des réseaux sociaux. Les employés ayant accès aux informations sensibles doivent être spécialement formés pour savoir comment gérer ces données. Limiter l’utilisation d’appareils USB aux employés de manière justifiée et selon les besoins permet également de protéger un réseau.  
  • Ségrégation du Réseau: la ségrégation du réseau peut empêcher la propagation d’une APT à l’intérieur du réseau. Il n’est pas nécessaire que chaque employé ait accès aux ressources qui contiennent des données sensibles. En limitant l’accès dans la mesure du possible, une entreprise peut échapper à de nombreuses attaques.
  • Un Correctif Proactif: La sécurité d’un ordinateur dépend de son logiciel. Il est essentiel pour les entreprises de déployer des correctifs à leurs systèmes aussi rapidement que possible.
  • Authentification à Deux Facteurs: En implémentant une authentification à deux facteurs pour les utilisateurs distants ou utilisateurs qui nécessitent d’un accès aux informations sensibles, il est plus difficile pour un attaquant de tirer profit des identifiants perdus ou volés.
  • Politiques BYOD: Il est important de mettre en place une politique stricte en matière de BYOD car les attaquants peuvent facilement compromettre un ordinateur portable, un smartphone ou une tablette personnelle et déplacer les logiciels malveillants au sein du réseau de l’entreprise. 

Aujourd’hui, chaque entreprise ou organisation gouvernementale devrait se sentir concernée par le risque des Menaces Persistantes Avancées. Les attaques d’aujourd’hui sont de plus en plus sophistiquées et intrusives. Comme nous l’avons vu ci-dessus, il n’y a pas de recette miracle pouvant éradiquer le risque des attaques APT. Parce que différents vecteurs d’attaques sont utilisés, une stratégie de défense multi-couches pour empêcher ou au moins minimiser l’impact d’une APT demeure essentielle.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Ce que les entreprises devraient savoir au sujet des menaces persistantes avancées – Par Christophe Auberger, Directeur Technique chez Fortinet

hacker 19th février, 2014

Google, l’usine d’enrichissement nucléaire de l’Iran, le gouvernement du Pakistan, le département Américain de la Défense… la plupart des plus grandes entreprises et gouvernements ont été  victimes de Menaces Persistantes Avancées (Advanced Persistent Threats ou APT) au cours des deux dernières années. L’étendue de ces attaques Internet est en réalité beaucoup plus vaste que l’on ne l’imagine. Elles visent soit à détruire ou à voler des données diplomatiques sensibles ou le savoir-faire des entreprises, soit à faire de l’argent, ou encore la combinaison des trois. Compte tenu de cette situation, il est urgent pour les entreprises d’être prêtes à réagir face à ces attaques.

Les Menaces Persistantes Avancées sont des attaques ciblées, souvent organisées par les Etats nations, et conçues pour endommager ou voler des informations sensibles. Une de leurs particularités est qu’elles sont difficiles à identifier et peuvent rester inaperçues pendant des années. Par exemple, Information Week a indiqué en Mai 2013 qu’une attaque APT a été lancée plusieurs années auparavant contre le gouvernement Pakistanais et les entreprises mondiales d’exploitation minière, automobiles, militaires et d’ingénierie. Il a été estimé que l’attaque a débuté courant 2010 (voire peut-être plus tôt). Ces organisations n’ont pas été en mesure de faire face à ces attaques sophistiquées du fait des défenses de sécurité IT traditionnelles qu’elles avaient en place.

Comment les hackers procèdent-ils pour lancer une APT?

Alors que chaque APT est personnalisée pour atteindre la cible visée, leur cycle de vie se compose généralement des étapes suivantes: choisir une cible, puis faire quelques recherches sur l’entreprise – ses employés, politiques, applications et systèmes qu’elle utilise – et lister précisément les cibles humaines potentielles à l’intérieur de l’organisation.

Après cela, l’attaquant trouve des techniques appropriées, telles que l’ingénierie sociale ou la distribution d’exploits à l’aide d’emails malveillants, pour planter un logiciel malveillant d’accès à distance sur l’un des ordinateurs cibles.

Une fois que l’attaquant est à l’intérieur du réseau cible, il tente d’exploiter les vulnérabilités sur d’autres ordinateurs internes pour bénéficier d’un accès plus important au sein du réseau. Grâce à l’accès au réseau, les données peuvent facilement être exfiltrées. Les mots de passes, dossiers, bases de données, comptes email et autres données potentiellement précieuses peuvent être renvoyées à l’attaquant.

Enfin, même après que le vol des données soit terminé, un attaquant peut décider de rester présent sur le réseau et peut continuer à observer ses données. 

Quel est l’arsenal d’outils qu’un attaquant peut utiliser pour créer une APT?

Pour créer une Menace Persistante Avancée, les outils et techniques utilisés par les attaquants sont souvent les mêmes que ceux associés aux cyber-attaques, tels que:

  • Les Logiciels Malveillants: certains hackers utilisent des logiciels malveillants spécialement conçus pour exploiter l’ordinateur d’une victime, tandis que d’autres utilisent des outils de logiciels malveillants “prêts à l’emploi”, facilement accessibles en ligne.
  • L’Ingénierie Sociale: généralement, un attaquant crée des emails très spécifiques, de type harponnage (spear-phishing en anglais), dotés de pièces jointes d’apparence inoffensives, qui vont probablement être ouverts par la cible.
  • Zero-Day et autres Exploits: Une zero-day est une vulnérabilité dans un logiciel qui permet à un attaquant d’exécuter du code de manière non-intentionnelle ou de prendre le contrôle d’un ordinateur cible. Ces exploits se trouvent généralement dans des attaques de type harponnage et watering hole (ou trou d’eau en français).
  • Infiltrés et Recrues: Parfois un attaquant recrute un des salariés de l’entreprise pour lancer une  attaque. C’est souvent le seul moyen pour un attaquant d’atteindre un ordinateur cible qui n’est pas connecté à Internet.
  • Certificats Falsifiés et Faux: Un attaquant peut essayer de falsifier ou d’imiter un certificat SSL pour obtenir d’une victime qu’elle se rende sur une page qui prétend provenir d’un site sûr. 

Qui se cache derrière une APT?

Comme pour toutes les cyber-attaques, il est très difficile de déterminer l’origine et l’attribution d’une APT. Par exemple, un logiciel malveillant pourrait être développé par un citoyen européen qui utilise un kit de développement de logiciels en langue chinoise et des textes de certaines organisations militaires chinoises, mais qui se trouve hébergé sur un site Internet en Russie et qui route l’attaque pour qu’elle semble venir de Chine.

Il n’y a que quelques groupes mondiaux qui ont la capacité, les compétences, le financement et l’infrastructure pour lancer une APT. Ils ciblent généralement les entreprises et gouvernements étrangers pour exfiltrer à la fois les secrets d’états et le savoir-faire des entreprises. Les médias peuvent également être ciblés pour traquer les dissidents. Ainsi, en Janvier 2013, le New York Times a publié un rapport affirmant que des hackers chinois, qui étaient soupçonnés d’être parrainés par un état, avaient infiltré leur réseau. L’attaque a été conçue pour trouver des emails et documents liés à un article écrit par le NYT au sujet des proches du Premier Ministre de Chine.

La Russie a également la capacité de lancer des attaques sophistiquées, mais pour l’instant, il n’y a pas eu de preuves liant le gouvernement Russe à une attaque spécifique. Avec certains des meilleurs crackers informatiques au monde en Russie, on peut supposer que le Federal Security Service (FSB) de Russie a une équipe ou des équipes en place pour surveiller et infiltrer des organisations et nations.

Les Etats-Unis de leur côté ont une vaste “cyber armée.” Par exemple, Stuxnet, l’une des plus célèbres attaques, a été utilisée avec succès par les USA en partenariat avec l’Israël pour perturber les plans d’enrichissement nucléaire de l’Iran.

D’autres pays peuvent également avoir développé leurs propres cyber-armées et groupes APT. On ne sait que peu de choses sur les capacités du reste des nations et états du G20 comme la Syrie, Corée du Nord, l’Iran et autres nations au Moyen-Orient. Mais on peut affirmer sans crainte que la plupart de ces nations ont au moins étudié la possibilité de tirer profit d’une APT.

Comment les entreprises peuvent-elles réduire le risque en matière d’APT?

Afin de se protéger des ATP, les entreprises doivent implémenter une stratégie de défense basée sur plusieurs couches de protection. Il est important de comprendre qu’il n’y a pas qu’une seule fonction de sécurité réseau pouvant arrêter une APT.

Il existe des méthodes spécifiques pour réduire le risque en matière d’APT. Il s’agit de :

  • Partenariats de Sécurité: Avoir un solide partenariat avec un fournisseur de sécurité, qui peut fournir des informations et renseignements actualisés sur les menaces au personnel IT ainsi qu’une méthode précise à suivre lorsqu’un incident est détecté.
  • Défense Multi-Couches: une telle défense demande l’implémentation de fonctions de sécurité clés telles que le filtrage Web/réputation IP, la liste blanche/liste noire, le contrôle des applications basé sur les utilisateurs et appareils, le DLP, l’IPS/l’IDS, le sandboxing basé sur le cloud et l’anti-virus ou le contrôle des terminaux. Toutes ces caractéristiques sont essentielles pour arrêter les applications malveillantes, logiciels malveillants et activités suspectes potentielles et ainsi empêcher les informations sensibles de quitter le réseau.
  • Education de l’Utilisateur Final: Il est essentiel d’éduquer les employés au sujet des cyber-menaces et du bon usage des réseaux sociaux. Les employés ayant accès aux informations sensibles doivent être spécialement formés pour savoir comment gérer ces données. Limiter l’utilisation d’appareils USB aux employés de manière justifiée et selon les besoins permet également de protéger un réseau.  
  • Ségrégation du Réseau: la ségrégation du réseau peut empêcher la propagation d’une APT à l’intérieur du réseau. Il n’est pas nécessaire que chaque employé ait accès aux ressources qui contiennent des données sensibles. En limitant l’accès dans la mesure du possible, une entreprise peut échapper à de nombreuses attaques.
  • Un Correctif Proactif: La sécurité d’un ordinateur dépend de son logiciel. Il est essentiel pour les entreprises de déployer des correctifs à leurs systèmes aussi rapidement que possible.
  • Authentification à Deux Facteurs: En implémentant une authentification à deux facteurs pour les utilisateurs distants ou utilisateurs qui nécessitent d’un accès aux informations sensibles, il est plus difficile pour un attaquant de tirer profit des identifiants perdus ou volés.
  • Politiques BYOD: Il est important de mettre en place une politique stricte en matière de BYOD car les attaquants peuvent facilement compromettre un ordinateur portable, un smartphone ou une tablette personnelle et déplacer les logiciels malveillants au sein du réseau de l’entreprise. 

Aujourd’hui, chaque entreprise ou organisation gouvernementale devrait se sentir concernée par le risque des Menaces Persistantes Avancées. Les attaques d’aujourd’hui sont de plus en plus sophistiquées et intrusives. Comme nous l’avons vu ci-dessus, il n’y a pas de recette miracle pouvant éradiquer le risque des attaques APT. Parce que différents vecteurs d’attaques sont utilisés, une stratégie de défense multi-couches pour empêcher ou au moins minimiser l’impact d’une APT demeure essentielle.

By
@coesteve1
backtotop