Attaques APT: l’art et la manière de perturber les cybercriminels

Une victoire totale et durable contre les cybercriminels relève du vœu pieu. La meilleure façon de lutter contre eux est de rendre leur tâche la plus difficile possible, avec une réponse persistante avancée aux attaques persistantes avancées.

Les gouvernements et le secteur privé ont mis bien trop longtemps à se rendre à l’évidence : une victoire totale et durable contre les cybercriminels relève du vœu pieu. L’ennemi reste actif, il se concerte avec ses pairs, il gagne en agilité et en furtivité et dispose de moyens financiers importants.
Qu’il soit membre d’un réseau de cybercriminalité ou qu’il appartienne à un groupe de hackers commandités par des gouvernements, il dispose de tous les outils pour mener des attaques toujours plus sophistiquées telles que les APT (Advanced Persistent Threats), qui se séquencent en plusieurs étapes et associent de multiples techniques.
Ces assaillants sont rarement arrêtés et condamnés, et pour cause ! Il est particulièrement complexe d’identifier l’auteur d’un piratage qui s’affranchit des frontières nationales. D’autre part, certains gouvernements ont littéralement
« institutionnalisé » de tels actes. Enfin, les forces de l’ordre ne disposent pas toujours des moyens et solutions adéquats pour identifier et neutraliser les cybercriminels. Mais le plus dramatique reste que ces activités malveillantes capitalisent sur des acteurs « légitimes » comme les hébergeurs Web et les fournisseurs de solutions de paiement. Dans un premier temps, il s’agit donc de se focaliser sur ces entreprises pour mettre à mal et perturber l’ennemi.

On pourrait comparer le hacking à un fauteuil à trois pieds.
Le premier pied représente l’expertise en matière de piratage, autrement dit la capacité à s’adosser à une personne pour créer des logiciels malveillants ou initier une attaque.
Le deuxième symbolise les moyens et canaux de paiement pour rémunérer un service rendu.
Le troisième n’est autre que l’hébergement, à savoir la plateforme qui va permettre de gérer et de contrôler une attaque. Un hacker utilise ces trois leviers et le siège est celui sur lequel il assoit sa réputation parmi ses pairs. Ôtez un des pieds… et le fauteuil s’effondre !

Pour lutter contre le hacking, les acteurs du paiement et de l’hébergement Web se doivent de définir une norme universelle et simple qui mettra en œuvre les pratiques suivantes : la vérification de l’identité de tous les clients, un partage d’information en 24/7 avec les forces de l’ordre locales, et la suspension de comptes clients en cas de notification par ces dernières ou de plainte d’entreprises suite à une tentative de piratage.
À noter que de telles pratiques ont déjà été adoptées par ces professionnels dans une volonté collective de lutter contre la pédopornographie. Ce scénario peut donc être réitéré pour maîtriser les exactions de la cybercriminalité.

Bien sûr, il existera toujours des « juridictions » qui ne se conformeront pas à cette norme et des endroits où les cybercriminels pourront se réfugier pour continuer à perpétrer leurs attaques. Mais l’objectif est avant tout de réduire leurs choix, d’éliminer certaines options, de perturber l’activité de ces ennemis et de peser sur leur réputation.
En parallèle, ce sont les entreprises et organisations qui doivent repenser la sécurité de leurs informations, ce qui se traduit bien trop souvent par une volonté d’ériger des forteresses impénétrables sur le Web. Sauf qu’un tel objectif est impossible à tenir, face à des hackers toujours plus expérimentés. Nous ne serons donc jamais capables de leur barrer indéfiniment la voie vers nos systèmes. Au contraire, nous devons nous rendre compte qu’un hacker peut être présent au sein de notre périmètre de sécurité et notre priorité doit être de le perturber, de le ralentir, pour qu’il s’interroge : est-il souhaitable de gaspiller autant de temps, d’argent et de bande passante sur sa cible ? Car au final, si des cambrioleurs réussissent à pénétrer dans votre maison, vous voudrez sans doute qu’ils restent confinés à la cave plutôt que de leur ouvrir votre coffre-fort.
Pour y arriver, il faut cesser de se focaliser sur ce qui entre sur le réseau, et se pencher davantage sur ce qui en sort: les données prélevées et envoyées, les serveurs tiers contactés, etc. Il s’agit ici d’avoir une meilleure visibilité et une connaissance précise de la situation, grâce à des outils de monitoring de l’intégrité des fichiers ou des produits de détection des menaces, dont les données pourront être utilisées afin de déjouer les plans des hackers.
Les administrateurs systèmes jouent également un rôle essentiel dans l’arsenal de sécurité des organisations, mais leur importance est souvent sous-estimée. Ils devraient être formés pour devenir de véritables « gendarmes » de l’environnement informatique, capables d’identifier et de neutraliser les menaces, et d’agir sur les ressources en cas de suspicion d’attaque, en désactivant une machine ou un hôte avant qu’un hacker s’y immisce par exemple.
Au final, l’idée est de rendre l’exfiltration des données la plus difficile possible pour le hacker en jouant la carte du perturbateur, afin de l’inciter à reconsidérer la pertinence de son attaque. Il s’agit ainsi d’une réponse persistante avancée aux attaques persistantes avancées (les fameuses APT) qui prolifèrent aujourd’hui dans le monde. Mais cette approche implique que les organisations remettent en cause leur conception traditionnelle de la sécurité. Nous ne gagnerons jamais la guerre contre les hackers.
Cependant, grâce aux efforts des acteurs de l’hébergement et du paiement, nous pouvons mettre à mal la réputation des hackers au sein de l’économie souterraine, et peut-être même en décourager quelques-uns. Le premier rôle d’une direction informatique en matière de sécurité devrait être de compliquer au maximum la tâche des assaillants.

Autour du même sujet