Intro au protocole MQTT et son (in)sécurité pour les échanges M2M / IoT

Le protocole MQTT (Message Queuing Telemetry Transport) se distingue par sa capacité à transmettre des messages courts et une utilisation faible de la bande passante qui le rendent adapté pour les communications M2M (machine 2 machine) de type objets connectés.

Ce protocole est principalement utilisé pour la remontée d’information d’objets connectés destinés aux particuliers. Quelques implémentations dans les objets connectés du monde industriel ont été réalisées

Cet article a pour objectif de donner quelques éclairages sur les principales fonctionnalités de ce protocole, qui existe depuis 1999, et les fonctions de sécurité qu’il propose voire des fonctions complémentaires à envisager lors de son utilisation.

Continuer la lecture de Intro au protocole MQTT et son (in)sécurité pour les échanges M2M / IoT

Nouvelle approche de cyber-défense : les leurres pour détecter les attaques furtives

Passer d’une posture du “potentiel scénario de menace” que doit être adressé avec des mesures de protection à une approche proactive et intelligente de la cybersécurité : la tromperie, nouvelle arme contre les menaces du cyberespace !

Le principe de fonctionnement des honeypots a été repris et adapté par certains éditeurs de solutions de sécurité des Systèmes d’Information pour être applicable aux contextes des réseaux internes. Ces nouvelles solutions, désignées par Deception Technology, sont plus dynamiques, adaptables à la personne malveillante qui y accèdent et enfin déployables dans différents points du Système d’Information.

Reprenons un peu l’anatomie d’une attaque informatique : une personne malveillante aura besoin d’utiliser un point d’entrée dans le Système d’Information cible :

  • Si elle est située à l’extérieur d’un site physique de sa cible, cette personne malveillante compromettra un poste de travail d’un collaborateur de l’organisation ou un serveur exposé sur Internet
  • Si elle est située dans un établissement de l’organisation, elle connectera un PC qui dispose d’outils de piratage

À partir de ces points d’ancrage , la personne malveillante tentera de trouver d’autres composants du Système d’Information pour :

  1. modifier et/ou substituer des données
  2. installer un programme capable d’altérer son fonctionnement ou déclencher une destruction de son contenu
  3. rebondir vers d’autres composants en exploitant des vulnérabilités ou des données collectées, ex. comptes utilisateurs ou d’administrateurs, pour continuer ses méfaits

Ces mouvements dans le Système d’Information compromis, désignés par « déplacements latéraux », sont généralement complexes à détecter, car menés très discrètement sur une longue période pour augmenter le caractère furtif de l’attaque. Certaines organisations se rendent compte que leur Système d’Information a été compromis longtemps après la fin de l’attaque lorsque la personne malveillante active les programmes malveillants qu’il a déployé ou lorsqu’elle publie les données exfiltrées. Ces attaques passent généralement sous le radar des dispositifs de sécurité existants lorsqu’elles menées par des professionnels de la cybercriminalité, voire de certains états, qui disposent de moyens largement supérieurs aux moyens de leurs cibles.

Par ailleurs, la complexité du Système d’Information et son extension au-delà des murs des entreprises (dans le Cloud ou chez des partenaires) rend complexe une supervision efficace de la sécurité. Seuls les composants et les applications sensibles du Système d’Information sont supervisés. Un pan complet du Système d’Information est ainsi laissé à la merci d’une personne malveillante qui y positionnera des charges destinées à terme à s’attaquer aux composants et applications sensibles.

C’est dans ce contexte de menaces que la technologie de déception peut jouer un rôle actif dans la sécurité d’un Système d’Information de plus en plus complexe et étendu. Le principe de la technologie de déception repose sur la mise en place de leurres dans différents réseaux du Système d’Information.

L’avantage de disposer de ce type de solution de sécurité est de pouvoir interagir avec la personne qui y accède en présentant à ses requêtes et commandes des réponses adéquate, tout en enregistrant ses requêtes et commandes. Son efficacité tient dans le fait que si une personne s’y connecte et commence à utiliser les services proposés, il y a de fortes chances qu’il s’agit d’une personne malveillante en déplacement latéral dans le Système d’Information.

Par ailleurs, l’analyse des enregistrements permet de comprendre les intentions de l’intrus : cherche-t-il des données particulières ? Collecte-t-il toutes les données qu’il trouve ? Qu’installe-t-il dans les serveurs ? La compréhension des intentions de l’intrus permet d’adapter la posture à adopter dans le cadre de la réponse à l’incident de sécurité : bloquer l’attaque ou superviser les mouvements dans le Système d’Information pour comprendre ses intentions.

Oui, vous l’avez compris le fonctionnement de la technique de déception repose sur le principe que l’attaquant fait confiance dans l’infrastructure qu’il tente de compromettre et qu’il pense collecter de l’information pertinente, la gratification, pendant son déplacement latéral … un comble : mais pourquoi ne ferait-il pas confiance dans un Système d’Information dont il vient d’exploiter des faiblesses ? Je revois à un document du DARPA déclassifiés en 2007 qui avait, dès 1973, planché sur l’efficacité des techniques de déception [1]. Encore plus loin dans le temps, Sun Tzu mettait en avant ce type d’approche dans son écrit “L’art de la guerre” : “Toute campagne guerrière doit être réglée sur le semblant ; feignez le désordre, ne manquez jamais d’offrir un appât à l’ennemi pour le leurrer, simulez l’infériorité pour encourager son arrogance, sachez attiser son courroux pour mieux le plonger dans la confusion : sa convoitise le lancera sur vous pour s’y briser.”.

Les premières solutions de leurres pour la sécurité des Systèmes d’Informations datent de 15 ans avec les honeypots. Malheureusement, leur caractère statistique fait qu’ils sont facilement détectables et rapidement inefficaces : il ne faut pas sous-estimer l’intelligence des personnes malveillantes. Ces solutions avaient comme finalité la recherche en cybersécurité et étaient destinées à être exposées sur Internet.

De nouvelles solutions sont apparues ces dernières années et qui proposent des leurres dynamiquement adaptables aux contextes de d’accédant. Ces leurres se déploient dans tout le Système d’Information pour y proposer de « l’information intéressante » à une personne malveillante (de la donnée ou des comptes d’utilisateurs). Ces vraies-fausses informations pouvant être intégrées à des cookies, des entrées dans la base de registre, des fichiers locaux, des partages réseaux, des bases de données voire même des entrées dans les tables ARP des composants réseaux…

En terme de déploiement, deux approches :

  • A base d’agents : efficace pour intégrer dans les composants et applications existantes du Système d’Information des leurres. Ce type de déploiement permet d’intégrer dans l’existant des leurres (tokens).
  • A base de systèmes complets : à positionner dans les segments réseaux du Système d’Information. Ce type de déploiement permet de disposer d’une haute capacité d’interaction avec l’accédant sans contrainte par rapport à l’existant. Certaines solutions peuvent émuler certains produits particuliers tels que les Point of Sales voire des services très spécifiques, par exemple : Swift ou encore se baser sur des clones d’applications existantes dans le Système d’Information.

Le Gartner [2] distingue 4 types d’approche :

Source : Gartner (July 2015)

Sans se positionner pour le moment sur le marché, le Gartner a réalisé une première analyse des principaux éditeurs :

Deception Provider Network Endpoint Application Data
Allure Security Technology X
Attivo Networks X X Partial
CyberTrap X X Partial
Cymmetria X X Partial
ForeScout X
GuardiCore X X X Partial
Hexis Cyber Solutions X
illusive networks X Partial
LogRhythm X
Percipient Networks X
Rapid7 X
Shape Security X
Specter X X Partial
TrapX Security X X Partial
TopSpin Security X X X

Source: Gartner (July 2015)

Des leurres dans le SI and so what ? Au-delà de la compréhension des intentions des personnes malveillantes, les leurres permettent aussi d’initialiser l’investigation sur la compromission avérée du Système d’Information.

Le déploiement des leurres doit principalement être accompagné d’un capacité de réaction à une intrusion efficace et continue en 24/7.

A mon sens, cette solution doit faire face à deux limites :

  • La validité juridique qui doit être instruite un peu plus (je ne suis pas juriste!) ;
  • Le traitement des employés un peu trop curieux qui “surfent” dans le Système d’Information sans mauvaises intentions et qui “tombent accidentellement” sur les leurres.

Pensez-vous que la technologie de déception aura un avenir ? Annonce-t-elle une évolution des centres opérationnels de sécurité (SOC) en leur proposant de nouvelles options pour enrichir leurs outils de corrélation des événements de sécurité (SIEM) ?

Dans l’attente des retours d’expérience sur ce type d’approche.

[1] On Countering Strategic Deception  http://documents.theblackvault.com/documents/defenseissues/OnCounteringStrategicDeception.pdf

[2] Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities https://www.gartner.com/doc/reprints?id=1-2LSQOX3&ct=150824&st=sb&aliId=87768

Analyse du leak Vault 7: le projet Pandemic de la CIA

La semaine dernière, Wikileak a publié de nouveaux documents de la CIA relatifs à un projet désigné par Pandemic [1]. Un projet qui détourne une fonction native dans les systèmes Microsoft Windows à des fins de surveillance et de corruption des Systèmes d’Information de leurs cibles.

Continuer la lecture de Analyse du leak Vault 7: le projet Pandemic de la CIA

Sécurité des objets connectés et sécurité des systèmes d’information : même combat

La sécurité des objets connectés est au cœur l’actualité et des inquiétudes des organisations qui basent le développement de leurs activités sur cette nouvelle tendance.

Dans une précédente publication [1], j’avais mis en avant 13 bonnes pratiques à considérer pour concevoir des objets connectés. A posteriori, je me suis rendu compte que j’avais succinctement (re)situé les raisons de l’(in)sécurité des objets connectés.

Par ailleurs, en écrivant cette publication, je me suis rendu compte que les maux qui conduisent à l’(in)sécurité des objets connectés sont également la cause de l’(in)sécurité des systèmes d’information des entreprises.

Continuer la lecture de Sécurité des objets connectés et sécurité des systèmes d’information : même combat

Faire changer périodiquement les mots de passe ne semble plus une bonne idée

Qui ne s’est pas agacé ou entendu geindre de devoir changer son mot de passe « trop » régulièrement ?

Il semble que la sécurité attendue par le changement périodique des mots de passe ne soit plus au rendrez-vous. Le NIST ouvrira prochainement la voie pour bannir cette pratique.

Continuer la lecture de Faire changer périodiquement les mots de passe ne semble plus une bonne idée