Cyber-attaques : un changement de cibles et de méthodes
Nous observons depuis de nombreuses années les techniques et activités des cybercriminels, ces dernières ont beaucoup évolué. Quelles sont les nouvelles cibles et méthodes émergentes ?
Toujours plus d’agilité et
d’adaptabilité : c’est ce dont font preuve les cyber-attaquants, qui
agissent de façon toujours plus ciblée et intense. Ces derniers ne sont plus
uniquement des états, mais également des groupes privés dont les moyens et les
motivations sont identiques. Depuis de nombreuses années, nous observons et consignons
les outils, techniques et activités des cybercriminels via un système
d’intelligence des attaques. Depuis l’an dernier cependant, de nouvelles cibles
et de nouvelles méthodes ont émergé.
Le discours de la méthode
Comment être présent sur un réseau d’entreprise, à un niveau mondial, sans être détecté et mener à bien une cyber-attaque, aussi persistante que possible ? Pour ce faire, les cybercriminels conjuguent maliciels et comportements anodins. Certes, ils utilisent toujours des outils d’attaques potentiellement détectables, et les attaques de spear-phishing, avec maliciels qui se déclenchent instantanément ou restent latents sont toujours courantes et intenses. Mais leur utilisation est plus circonstanciée, et l’on voit de plus en plus apparaitre des activités que l’on peut qualifier de leurre, tels que l’utilisation et la corruption de comptes autorisés au sein de l’entreprise pour réaliser et/ou administrer certaines tâches. Cette approche permet en effet de s’introduire sur des réseaux via des comptes utilisateurs légitimes, le plus souvent sur l’ensemble du ou des réseaux de l’entreprise, et d’y rester « tapi » pour mieux mener une APT sur le long terme. Cette nouvelle tendance, déjà constatée l’an passé, tend à se développer de plus en plus.
Comment s’en prémunir ? Au-delà
d’une détection basée sur des signatures à jour et sur l’analyse
comportementale, les entreprises doivent clairement mener une politique précise
de gestion des risques et identifier
notamment les différents points d’accès de l’externe vers l’interne, notamment
ceux avec des entreprises tiers parfois moins sécurisées tels que des
partenaires commerciaux. Enfin, elles doivent limiter les services et
autorisations certes légitimes mais pas forcément nécessaires, qui permettent,
une fois corrompus, aux attaquants de se déplacer à l’intérieur du réseau.
Nouvelles cibles de cœur et d’attaques
Alors que les attaques contre le secteur financier continuent à un rythme toujours aussi soutenu, un certain nombre de campagnes de cyber espionnage découvertes en 2014 ciblent d’autres secteurs clés, notamment l’énergie, l’industrie, les entreprises technologiques, le secteur de la santé (groupe Butterfly) et plus récemment l’aérospatiale, comme vu avec le groupe d’attaquants « BlackVine ». Ces secteurs utilisent des systèmes de contrôle industriels pour automatiser des processus physiques, qui sont de plus en plus ciblés par les cyber-attaques. Si Stuxnet, découvert en 2010, marque le début de ce type de ciblage, il est intéressant de noter que ce type d’attaques est rarement médiatisé mais que les dégâts, virtuels ou réels, peuvent être importants politiquement, socialement ou encore économiquement, comme nous l’avons constaté en Allemagne avec l’arrêt complet d’un haut fourneau.
Ces attaques ont pu se dérouler via des maliciels tels que BlackEnergy qui permet l’exploit de ces programmes spécialisés de contrôle industriel, ou encore le cheval de Troie utilisé par le groupe DragonFly qui distribue Backdoor.Oldrea, qui, de son côté, reconnaissait les protocoles et ports des réseaux de systèmes concernés. En effet, ces systèmes de contrôle industriel ont été conçus avant le développement de l’Internet au sein des entreprises, avec un focus sur leur résistance et fonction et non sur leur sécurité. Résultat : ils présentent de nombreuses failles de sécurité et sont souvent des maillons faibles du réseau de l’entreprise. Vu l’impact potentiel de telles attaques, le manque de préparation et de protection, les conséquences physiques et/ou la valeur des informations dérobées, il est fort probable que ces secteurs et ces systèmes continuent d’être ciblés.
Dès lors, que faire ? Il convient tout d’abord de prendre conscience des faiblesses de sécurité de ces systèmes, et d’arguer de leur connectivité limitée comme meilleure solution de sécurité. La meilleure protection est ici d’effectuer des contrôles de sécurité stricts et réguliers, et de tirer parti du caractère et de la destination le plus souvent uniques de tels systèmes, pour identifier des comportements anormaux, via un monitoring de sécurité adéquat et permanent.
Nouvelles méthodes et nouvelles cibles : les cyber-attaquants se renouvellent en fonction des mesures et des postures de sécurité, mais également de la valeur des informations ciblées. Les attaques contre les systèmes de contrôle industriel sont par ailleurs fort préoccupantes pour les conséquences physiques possibles, ainsi qu’en raison de leur utilisation croissante lors de la fabrication des objets connectés.
Des solutions existent néanmoins, tant humaines que technologiques, qui supposent une clairvoyance et un réalisme certains, ainsi qu’une véritable gestion du risque informatique au sein de l’entreprise et de son écosystème.