Attaques APT: l’art et la manière de perturber les cybercriminels
Une victoire totale et durable contre les cybercriminels relève du vœu pieu. La meilleure façon de lutter contre eux est de rendre leur tâche la plus difficile possible, avec une réponse persistante avancée aux attaques persistantes avancées.
Les gouvernements et le secteur privé ont mis bien trop longtemps à se
rendre à l’évidence : une victoire totale et durable contre les
cybercriminels relève du vœu pieu. L’ennemi reste actif, il se concerte avec
ses pairs, il gagne en agilité et en furtivité et dispose de moyens financiers
importants.
Qu’il soit membre d’un réseau de cybercriminalité ou qu’il
appartienne à un groupe de hackers commandités par des gouvernements, il
dispose de tous les outils pour mener des attaques toujours plus sophistiquées
telles que les APT (Advanced Persistent Threats), qui se séquencent en
plusieurs étapes et associent de multiples techniques.
Ces assaillants sont rarement arrêtés et condamnés, et pour cause ! Il
est particulièrement complexe d’identifier l’auteur d’un piratage qui
s’affranchit des frontières nationales. D’autre part, certains gouvernements
ont littéralement « institutionnalisé » de tels actes. Enfin, les forces de
l’ordre ne disposent pas toujours des moyens et solutions adéquats pour
identifier et neutraliser les cybercriminels. Mais le plus dramatique reste que
ces activités malveillantes capitalisent sur des acteurs
« légitimes » comme les hébergeurs Web et les fournisseurs de
solutions de paiement. Dans un premier temps, il s’agit donc de se focaliser sur
ces entreprises pour mettre à mal et perturber l’ennemi.
On pourrait comparer le hacking à un fauteuil à trois pieds.
Le premier
pied représente l’expertise en matière de piratage, autrement dit la capacité à
s’adosser à une personne pour créer des logiciels malveillants ou initier une
attaque.
Le deuxième symbolise les moyens et canaux de paiement pour rémunérer un
service rendu.
Le troisième n’est autre que l’hébergement, à savoir la
plateforme qui va permettre de gérer et de contrôler une attaque. Un hacker utilise
ces trois leviers et le siège est celui sur lequel il assoit sa réputation
parmi ses pairs. Ôtez un des pieds… et le fauteuil s’effondre !
Pour lutter contre le hacking, les acteurs du paiement et de l’hébergement
Web se doivent de définir une norme universelle et simple qui mettra en œuvre
les pratiques suivantes : la vérification de l’identité de tous les clients, un
partage d’information en 24/7 avec les forces de l’ordre locales, et la
suspension de comptes clients en cas de notification par ces dernières ou de
plainte d’entreprises suite à une tentative de piratage.
À noter que de telles
pratiques ont déjà été adoptées par ces professionnels dans une volonté
collective de lutter contre la pédopornographie. Ce scénario peut donc être
réitéré pour maîtriser les exactions de la cybercriminalité.
Bien sûr, il existera toujours des « juridictions » qui ne se
conformeront pas à cette norme et des endroits où les cybercriminels pourront se
réfugier pour continuer à perpétrer leurs attaques. Mais l’objectif est avant
tout de réduire leurs choix, d’éliminer certaines options, de perturber
l’activité de ces ennemis et de peser sur leur réputation.
En parallèle, ce sont les entreprises et
organisations qui doivent repenser la sécurité de leurs informations, ce qui se
traduit bien trop souvent par une volonté d’ériger des forteresses
impénétrables sur le Web. Sauf qu’un tel objectif est impossible à tenir, face
à des hackers toujours plus expérimentés. Nous ne serons donc jamais capables
de leur barrer indéfiniment la voie vers nos systèmes. Au contraire, nous
devons nous rendre compte qu’un hacker peut être présent au sein de notre
périmètre de sécurité et notre priorité doit être de le perturber, de le
ralentir, pour qu’il s’interroge : est-il souhaitable de gaspiller autant
de temps, d’argent et de bande passante sur sa cible ? Car au final, si
des cambrioleurs réussissent à pénétrer dans votre maison, vous voudrez sans
doute qu’ils restent confinés à la cave plutôt que de leur ouvrir votre
coffre-fort.
Pour y arriver, il faut cesser de se focaliser sur ce qui entre sur le
réseau, et se pencher davantage sur ce qui en sort: les données prélevées et envoyées,
les serveurs tiers contactés, etc. Il s’agit ici d’avoir une meilleure
visibilité et une connaissance précise de la situation, grâce à des outils de
monitoring de l’intégrité des fichiers ou des produits de détection des
menaces, dont les données pourront être utilisées afin de déjouer les plans des
hackers.
Les administrateurs systèmes jouent également un rôle essentiel dans
l’arsenal de sécurité des organisations, mais leur importance est souvent
sous-estimée. Ils devraient être formés pour devenir de
véritables « gendarmes » de l’environnement informatique, capables d’identifier
et de neutraliser les menaces, et d’agir sur les ressources en cas de suspicion
d’attaque, en désactivant une machine ou un hôte avant qu’un hacker s’y immisce
par exemple.
Au final, l’idée est de rendre l’exfiltration des données la plus difficile
possible pour le hacker en jouant la carte du perturbateur, afin de l’inciter à
reconsidérer la pertinence de son attaque. Il s’agit ainsi d’une réponse persistante
avancée aux attaques persistantes avancées (les fameuses APT) qui prolifèrent
aujourd’hui dans le monde. Mais cette approche implique que les organisations remettent
en cause leur conception traditionnelle de la sécurité. Nous ne gagnerons
jamais la guerre contre les hackers.
Cependant, grâce aux efforts des acteurs
de l’hébergement et du paiement, nous pouvons mettre à mal la réputation des
hackers au sein de l’économie souterraine, et peut-être même en décourager
quelques-uns. Le premier rôle d’une direction informatique en matière de
sécurité devrait être de compliquer au maximum la tâche des assaillants.