Wipers : les bonnes pratiques pour rebondir au plus vite
Il faut remonter en 2012, avec l'affaire Saudi Aramco, pour entendre parler pour la première fois d'une attaque consistant à vider intégralement 40.000 postes de travail de leurs données. Ici, pas d'espionnage, ni de vol d'informations ou de demande de rançon, mais un acte de destruction, pur et simple. On supprime tout, on "wipe" ! Baptisé Shamoon, le virus mettait la compagnie pétrolière hors service pour plusieurs semaines. Dans les faits, le mode opératoire des wipers s'inspire des technologies formatage "bas-niveau", à savoir écrire du vide plusieurs fois sur les secteurs des disques durs, afin de priver les victimes de toute possibilité de récupération. Inutile de recourir aux techniques de manipulations magnétiques en salles blanches, il ne reste plus rien !
Après un long silence et une brève attaque contre TV5 Monde en 2015, le wiper ne fait son grand retour qu'en 2017. Déguisé en ransomware, NotPetya était bel et bien programmé pour détruire. S'il est établi qu'il visait l'Ukraine, il touchera des centaines d'entreprises dans le monde entier pour des pertes financières qui se comptent en milliards de dollars. Ces deux dernières années, le wiper est devenu une arme cyber régulièrement utilisée dans le conflit qui oppose l'Ukraine et la Russie depuis 2013. "Et c'est nettement visible depuis le début des affrontements militaires en février de cette année, pour paralyser les secteurs critiques (banques, communications, transports, etc.). Je pense notamment aux attaques des satellites russes ou des distributeurs de billets ukrainiens", ajoute Olivier Caleff, directeur cyber-résilience et crise chez Erium.
Attaque ciblée ou dommage collatéral
Clairement, la survenue d'un ouragan cyber qui détruirait 30% des systèmes numériques à l'échelle du pays est une menace prise très au sérieux et considérée aujourd'hui comme l'une des plus graves. On se rassure en se disant que ces attaques sont essentiellement étatiques et, qu'actuellement, leur exécution massive est compliquée à mettre en place de façon automatisée sans causer d'importants dommages collatéraux. "Le déploiement des wipers se fait essentiellement de façon manuelle depuis les cas historiques de NotPetya et du ransomware Wannacry", rappelle Gérôme Billois, expert en cybersécurité chez Wavestone.
Interrogés sur le sujet par le JDN lors des Assises de la Cybersécurité, les RSSI sont unanimes : s'en protéger ou essayer de résister face à un acteur étatique est peine perdue. La volonté de l'attaquant dépasse les moyens qui peuvent être mis en œuvre pour se défendre. "Ce qui n'empêche pas, bien au contraire, de mettre en place des mesures de protection de base et d'être réactif lorsqu'une attaque est détectée car cela réduit quand même le risque ", ajoute Gérôme Billois. Mais quid des systèmes de sauvegarde ? "Elles sont très souvent réalisées sur des dispositifs connectés au système d'information et sont, en règle générale, la cible n°1 des wipers", répond l'expert.
Déconnecter ou isoler les sauvegardes du systèmes d'information
Jusqu'ici, tout a effectivement été fait pour gérer le plus dynamiquement possible les sauvegardes. En temps réel. "Le problème, c'est que ces sauvegardes synchronisées sont connectées en permanence au SI. Il faut donc les débrancher et les installer en dehors du réseau. On entre à nouveau dans des mécanismes similaires aux sauvegardes sur bandes magnétiques", raconte Thierry Auger, DSI et RSSI du groupe Lagardère. Reste qu'il faut avoir mis en place une procédure élaborée de restauration et s'être assuré que le catalogue (ou table d'indexation de la base de données) est également sorti du système et est donc infalsifiable. "C'est un élément indispensable pour être en mesure de remettre toutes les cases aux bons endroits., poursuit le DSI-RSSI. De même, il faut une procédure de relecture et de vérification. Enfin, j'ajouterais qu'il est fortement recommandé de s'entraîner régulièrement pour garantir ce que j'appellerais sa "capacité à restaurer."
Se méfier des effacement partiels… et les identifier
D'autres systèmes, comme les sauvegardes immuables (immutable backups) "sont inaltérables et peuvent être immédiatement déployés sur des serveurs de production en cas de perte de données", ajoute Nicolas Groh, directeur technique Europe chez Rubrik. Le spécialiste de la sauvegarde sécurisée est d'ailleurs l'éditeur de la solution qui avait permis à Manutan de restaurer, en dix jours, 800 des 1200 serveurs chiffrés par un ransomware en février 2021. Attention, cependant : "Un wiper n'efface pas forcément tout ! précise Nicolas Groh. Le wipe est parfois partiel. Il faut donc se donner les moyens de savoir s'il y a eu effacement, ou non, et de connaître l'étendue des dégâts. Pour ça, il s'agit tout simplement de comparer les méta-données entre chaque sauvegarde via une analyse différentielle et de, le cas échéant, remonter au SOC, au SIEM ou au SOAR la présence d'une anomalie, avant d'enclencher la procédure de restauration." Il convient ensuite d'opérer un durcissement de l'annuaire (Active Directory, LDAP, etc.) pour s'assurer d'une bonne segmentation des droits et d'une bonne gestion des habilitations. En bref, s'assurer de ne pas laisser traîner des droits administrateurs ! Gérôme Billois ajoute que "cloisonner le réseau avec des zones étanches permet de confiner une attaque et une bonne connaissance du parc applicatif garantira une gestion et un déploiement optimaux des correctifs."
Nouvelle forme de détection
Parmi les remparts, l'ajout de solutions en mesure de repérer les attaques ciblées peut également être une aide précieuse. L'approche consiste à identifier un variant d'une souche de malware. Car c'est de cette façon que les attaquants procèdent pour contourner les EDR. "Nous avons développé un algorithme de deep learning en mesure de reconnaître les concepts d'attaque et de les relier ! Si un attaquant modifie la souche d'un virus pour viser une entreprise spécifique, il est obligé de réutiliser une partie du code et donc le concept associé, ce qui nous permet de le détecter. "
Reste qu'aujourd'hui, si les moyens d'entrer sont multiples, le phishing est celui le plus usité. Le facteur humain ne doit pas être négligé. "Il y a beaucoup d'efforts de faits pour détecter des pièces jointes ou les liens vers des exécutables potentiellement dangereux mais, clairement, la difficulté d'empêcher l'entrée est colossale. Même le MFA rencontre certaines limites…! Les attaques sont désormais très professionnelles et vraiment trompeuses", ajoute Thierry Auger. Pour les organisations, cela se traduit par la mise en place de campagnes de sensibilisation sous forme de e-learning et, de plus en plus, par le recours à des vraies fausses tentatives d'hameçonnage réalisées par les équipes sécurité auprès des collaborateurs, avec des résultats parfois aussi instructifs qu'inquiétants.