Quand un cheval de Troie dédié accède aux informations sensibles Menace persistante avancée, le nouveau cauchemar des RSSI

l'expert mauro israel a animé les ateliers de la sécurité.
L'expert Mauro Israel a animé les Ateliers de la sécurité. © CCMBenchmark.

Cette intrusion, menée par Nes à la demande d'un RSSI, et expliquée en détail lors des Ateliers de la sécurité organisée par CCMBenchmark, n'est pas aussi classique qu'elle n'y parait. Certes, certains éléments sont connus : usurpation d'identité, phishing, trojan etc.

 

Mais cette attaque était dédiée, elle ne visait qu'une seule société, contrairement au système des botnets. Son but n'était pas de corrompre un maximum de machines, juste une suffisait.

Elle ne cherchait d'ailleurs pas à ensuite envoyer de puissante attaques par déni de service, mais bien à subtiliser des informations sensibles. En outre, elle doit être discrète et rester longtemps sur la machine afin de sortir le plus d'information possible. Ces différences par rapport aux attaques "classiques" font d'elle une menace persistante avancée.

 

Cauchemar des RSSI 

Ce type de menace est le dernier cauchemar des RSSI : ces derniers mois, ce type d'attaque a mis à genoux RSA, la filiale sécurité d'EMC, Sony et son Playstation Network, ou encore Google, victime d'Aurora. Bercy pourrait également avoir été victime de cette attaque, mais les opinions divergent.

 

L'attaquant va paramétrer son Trojan et même réaliser un malware sur mesure

Pour cibler précisément la société, l'attaque qui repose en grande partie sur l'ingénierie sociale, doit être soigneusement préparée. Les pirates doivent collecter un maximum d'informations sur la société.

 

De nombreux outils, souvent Open Source, permettent de connaître les systèmes d'exploitation utilisés par les sociétés, mais aussi leur version, ainsi que celle d'Adobe ou encore de Word en vigeur dans l'enterprise ciblée.... Ces informations permettront très souvent d'obtenir des vulnérabilités, notamment si les logiciels ne sont pas tous mis à jour.

"Les entreprises ayant une politique de gestion des mises à jour Adobe, comme Reader, sur tous les postes de travail sont rares", rappelle Raphaël Illouz directeur général de Nes Conseil. Or les failles des versions non patchées sont à la portée du plus grand nombre. Les attaques encore plus sophistiquées peuvent toujours se baser sur des vulnérabilités 0 day.

 

Menace "persistante" et discrète

Une recherche d'information poussée préalable à l'attaque peut également permettre de connaître les solutions de sécurité, et donc d'antivirus , utilisées par l'entreprise. L'attaquant pourra donc paramétrer son Trojan en fonction, et même réaliser un malware sur mesure.

 

Pour que la menace soit "persistante", le trojan doit également aussi rester le plus longtemps et le plus discrètement actif dans le réseau de l'entreprise. C'est aussi ce qui semble bien s'être passé dans le cas de la fuite d'informations chez Sony.  "Dans les forums souterrains, il se dit que l'exfiltration de fichiers .rar appartenant à Sony se faisait toutes les quatre heures, pendant 2 mois", explique le hacker de Nes.

Virus / Cheval de Troie