Pourquoi il y a autant de cyber méchants ?

de | 24 janvier 2018

La réponse n’est ni “parce que !”, et encore moins “parce que tu es gentil”. J’admets les références télés sont moisies, mais je ne pouvais pas m’empêcher de le faire… Bref ! Toute organisation qui souhaite améliorer la sécurité de ses systèmes d’information doit identifier sa surface d’attaque et les vulnérabilités qui permettent de protéger contre une cyber attaque. Les mesures techniques et organisationnelles que l’organisation met en oeuvre afin de protéger ses systèmes d’information ne peuvent être efficaces que, si et seulement, elles sont adaptées à l’attaquant et aux moyens qu’il utilise. Il est donc primordial pour l’organisation d’identifier qui est susceptible de l’attaquer et des moyens qu’il utilise pour arriver à ses fins ! Par ailleurs, cette compréhension de ses “ennemis”, désignée par threat intelligence, permet à l’organisation d’adapter en continue ses mesures de protection qu’elle opère au quotidien.

Pour illustrer le propos, prenant l’exemple de la divulgation en avril 2017 de l’exploit EternalBlue, développé de la NSA, qui exploitait une faille dans le protocole SMB utilisé pour le partage de fichier dans les systèmes Microsoft Windows : de nombreuses organisations, ayant compris l’impact de cette divulgation dans leurs systèmes d’information et avaient, dès la divulgation, initié des actions pour identifier et limiter l’utilisation le protocole SMB. Dès la publication de la mise à jour de sécurité en mars 2017, ces organisations ont “forcé” son installation dans les systèmes Microsoft Windows. Les organisations qui n’avaient pas pris la mesure de la divulgation ou avaient retardé l’installation de la mise à jour, pour les plus chanceuses, ont passé leur week-end du 13 mai 2017 à patcher en urgence leurs systèmes et, pour les moins chanceuses, ont été victimes du ransonware… aujourd’hui encore avec NotPetya !

Sans entrer dans les méthodes et les outils techniques utilisés par les experts du domaine, à mon sens, la cyber threat intelligence doit prendre en compte plusieurs facteurs :

La motivation

La motivation des attaquants est de plus en plus importante du fait qu’elle permet

  1. des gains financiers directs liés à la fraude et l’extorsion ou indirects liés au vol d’information stratégique et secrète de l’organisation afin de les revendre à des tiers, notamment aux concurrents de l’organisation victime de l’attaque
  2. des prises d’avantages concurrentiels liés à l’espionnage industriel
  3. de perturber les activités d’une économie en s’attaquant aux infrastructures critiques d’un pays, le secteur de l’énergie est particulièrement ciblé par les attaques car arrêter le fonctionnement d’un système de production et de distribution de l’énergie perturbera forcément les activités des opérateurs télécom, des institutions financières, du transport, etc.
  4. de servir les intérêts des états, en se procurer des informations stratégiques sur d’autres états tels que leurs infrastructures critiques et leurs activités secrètes, états qui peuvent être ennemis… ou amis

Un autre facteur qui participe à la motivation : la capacité a réalisé l’attaque à distance voire depuis d’autres pays et qui permet une certaine impunité. Cette impunité est liée à la complexité de l’application d’accords internationaux sur le crime, en particulier lorsque ce dernier sert les intérêts politiques et financiers des gouvernements de pays dans lesquels sont localisés les attaquants.

Il est donc essentiel que l’organisation prenne suffisamment de recul afin de répondre à la question : “ Pourquoi mon organisation serait-elle la cible d’une attaque ? ”

La réponse à la question précédente ne doit pas se limiter à l’impact direct de l’attaque sur les activités de l’organisation : l’attaque peut également être destinée à se procurer des informations sensibles sur les clients et partenaires de l’organisation voire utiliser les infrastructures de l’organisation victime de l’attaque pour attaquer le système d’information d’une autre organisation qui est la réelle cible de l’attaque. Derniers exemples en date :

  • Un sous-traitant de l’armée Australienne a été victime d’une attaque qui a permis d’exfiltrer des informations sur de nombreux programmes militaires australiens dont : les deux avions militaires : le patrouilleur maritime et chasseur de sous-marin Boeing P-8 et l’avion de combat Lockheed Martin F-35 ainsi que des plans de nouveaux navires de la marine australienne ;
  • La compromission du système d’information de l’éditeur du logiciel CCleaner, d’optimisation et de nettoyage des systèmes d’exploitation Microsoft Windows, destiné au grand public : l’attaque a permis d’intégrer un malware qui devait se comporter différemment si les PC des victimes qui étaient localisés dans les réseaux de grandes entreprises tels que : Intel, Sony Samsung, Microsoft, Akamai, VMware, Google, Cisco, etc.

Le mode opératoire

Comme le démontre la dernière section du facteur précédent, les attaquants utilisent des vecteurs d’attaque de plus en plus élaborés et structurés afin d’arriver à leurs fins. Pour augmenter l’impact de leurs attaques, et donc les gains associés, les attaquants se regroupent afin de créer des organisations criminelles structurées. Ce regroupement leur permet d’augmenter leurs capacités en mutualisant leurs moyens et en industrialisant leurs attaques. Dans cette même perspective de démultiplication de leurs capacités, l’ensemble des états se dotent aujourd’hui de cellules offensives, principalement à des fins d’espionnage… mais pas que !

Toute cyber attaque, qu’elle soit directe ou indirecte, se déroule de la même manière, en 6 étapes telles que décrites dans la modélisation cyber kill chain, qui a été le sujet d’une précédente publication : reconnaissance, armement, livraison, exploitation, installation, commande et contrôle et enfin actions. Dans chaque étape, les attaquants et les groupes d’attaquants disposent de leurs propres modes opératoires qui comprennent des processus, des pratiques et des moyens techniques spécifiques. Il est important pour l’organisation de comprendre et de suivre les évolutions des modes opératoires des attaquants, en particulier les groupes qui visent leur secteur d’activité ex. Dragonfly = secteur de l’énergie, Leviathan = secteur maritime. L’objectif de ce suivi est de mettre en place les mesures qui permettent de détecter et d’endiguer les attaques connues des ennemis de l’organisation pour mieux se concentrer sur la prise en compte :

  1. Des changements des modes opératoires de ses ennemis ;
  2. Des attaques des “nouveaux” ennemis.

Des analyses sur ces organisations sont périodiquement mises à disposition et mises à jour, gratuitement ou sur abonnement, par des acteurs de la cyber sécurité. Comme pour la veille sur les vulnérabilités, les organisations doivent intégrer une veille permanente sur les activités des attaquants afin d’adapter leurs mesures de surveillance et de protection.

Les moyens

Le ramsonware Wanacry a démontré deux choses sur les attaquants :

  1. Les moyens d’en disposent les états qui ont été révélés au grand public et aux dirigeants des entreprises… qui n’était pas un secret pour les experts en cyber sécurité ;
  2. Leurs capacités à utiliser des vulnérabilités à créer des programmes destructeurs.

Le “grand jeu” des attaquants est de cherchent des vulnérabilités afin d’en créer le plus tôt possible des exploits destinés à compromettre les systèmes d’information de leurs cibles, avant qu’un patch soit mis à disposition et, par dessus tout, avant qu’une mise à jour de sécurité soit proposée par l’éditeur et appliquée par la (les) cible(ent) de(s) attaque(s)

Les opportunités :

Les trois facteurs précédent ne peuvent se matérialiser sans une compossante essentielle : les opportunités.

Le contexte des systèmes d’information fait qu’ils sont de plus en plus exposés aux attaques. L’augmentation de leur surface d’attaque est liée à plusieurs composantes :

    • Recours de plus en plus au technologies de l’information pour la transformation/transition numérique des organisations… sans une maîtrise suffisante de ces technologies ou en faisant des raccourcis qui exposent l’ensemble du SI à la négligence et la malveillance interne et externe.
    • L’ouverture des systèmes sur  Internet afin de proposer de plus enplus de services aux clients et partenaires des organisations… ouverture qui expose de facto toute application à une attaque.
    • L’interconnexion des systèmes qui s’accélère dans les organisations et notamment les systèmes critiques et industriels qui historiquement étaient isolé
    • La complexité intrinsèque des systèmes d’information qui se construisent par couches successives avec des chimères, créé sous la houlette de la transformation/transition numérique des organisations sans concertation avec les directions des systèmes d’information… une complexité qui freine toute velléité à appliquer les principes d’hygiène informatique les plus élémentaires tel que l’application de correctif de sécurité.
    • L’insensibilité des collaborateurs et du top management des organisations à la sécurité de leurs systèmes d’information… qui heureusement tant à s’améliorer du fait de l’actualité cyber sécurité médiatisée ces derniers mois.

La mise en place d’une cyber threat intelligence devient une nécessité dans les organisations afin de développer des approches proactives de la cyber sécurité. Cette activité est complémentaire aux activités existantes de supervision de sécurité : l’une alimentant l’autre.

Comme pour les cellules de veilles réglementaires ou encore de veilles sur la réputation, toute organisation doit maintenant se doter d’une cellule cyber threat intelligence adaptée à la taille de son organisation : d’une personne qui y consacre une partie de son temps dans les petites organisations à une cellule dédiée dans les grandes organisations.

2 réflexions au sujet de « Pourquoi il y a autant de cyber méchants ? »

  1. Ping : Veille Cyber N166 – 29 janvier 2018 |

  2. Ping : Pourquoi il y a autant de cyber méchants ? | Cybercriminalité

Les commentaires sont fermés.