Cyberattaque : le temps est compter pour protéger son entreprise

En décembre dernier, 18 000 organisations, y compris des agences gouvernementales fédérales américaines, ont été exposées à des cyberattaques résultant d’une compromission des systèmes de la société SolarWinds dont elles utilisent les produits. À l’instar de Roger Bannister dans le domaine sportif, en informatique, les cyberattaques évoluent au rythme des innovations et viennent bousculer notre définition du « possible ».

Cyberattaques : la course aux nouveaux records est lancée

Suite à ces attaques cyber, il est ,encore aujourd’hui, difficile d’estimer qui a réellement été compromis par le malware Orion, potentiellement inséré par les attaquants, lors de mises à jour des produits SolarWinds…

Quelques semaines plus tard, une nouvelle faille majeure touchait les serveurs Microsoft Exchange, exposant cette fois plus de 30 000 entreprises à travers le monde.

Dans les deux cas cités, des attaquants qualifiés, agissant vraisemblablement sur ordre d’un État, sont parvenus à prendre le contrôle de serveurs à l’intérieur même de réseaux d’entreprises et gouvernementaux, sans être détectés par les équipes de sécurité informatique.

Les deux attaques survenues coup sur coup, étaient en réalité liées, puisque les pirates à l’origine de l’attaque contre la chaîne d’approvisionnement de la société SolarWinds se seraient servis de leur accès pour consulter le code source d’Exchange chez Microsoft, et ainsi rechercher des vulnérabilités, avec le résultat que l’on connaît désormais (les 4 failles zero-day “Proxylon”).

Le risque cyber repose sur une série d’interdépendances

Les chaînes d’attaque, qui n’étaient autrefois que de la théorie, sont devenues une réalité. SolarWinds était en quelque sorte le « Roger Bannister des cyberattaques » : une fois le premier record battu, nul doute que d’autres suivront !

De plus, avec l’arrivée des cryptomonnaies, les attaquants sont aujourd’hui en mesure de monétiser facilement les données. Ils recherchent et exploitent sans relâche les failles pour s’implanter sur les systèmes et réseaux, puis accèdent aux données des entreprises et les monétisent en recourant au chiffrement et à l’extorsion. Et désormais, il n’est pas rare que les attaquants se vantent de leur succès et des sommes ainsi gagnées.

Leur stratégie consiste à tenter de forcer les serrures de la moindre porte ou fenêtre (à de multiples reprises) jusqu’à ce qu’ils trouvent un moyen d’entrer. Il n’est donc pas exagéré de partir du principe que tout système vulnérable connecté à Internet a déjà été compromis. Le moindre système Internet fonctionnant avec une connexion, vulnérable ou non, fait probablement l’objet d’une attaque dite « de force brute » en ce moment même. Les attaquants tentent d’innombrables combinaisons de noms d’utilisateur et de mots de passe jusqu’à en trouver une qui fonctionne.

Au cours de l’année écoulée, différents modes opératoires ont été observés : certaines attaques ont été lancées à partir de failles dans des dispositifs VPN, de serveurs d’accès à distance ou encore de serveurs de transfert de fichiers.

Les employés ouvrent la porte de leur réseau aux cybercriminels en cliquant sur des liens qui les incitent à divulguer des informations d’identification ou à télécharger un code malveillant. Si un attaquant ne souhaite pas s’introduire lui-même dans un système, il peut aussi acheter son entrée sur le Dark Web.

Les données sont ensuite utilisées comme une arme contre l‘entreprise et la laissent face à une décision : faut-il payer la rançon suite à une cyberattaque ?

Quelles sont les étapes clés suivies par les cyber attaquants ?

Une fois que les attaquants ont pris le contrôle d’un serveur ou d’un terminal, ils suivent généralement le même mode d’emploi :

  • Tout d’abord la mise en place un système de contrôle (Command and control) pour utiliser le premier serveur comme point de départ,
  • Puis une reconnaissance de base du réseau avec des techniques furtives bien connues,
  • Pour ensuite compromettre des comptes disposant de privilèges plus important, en exploitant des faiblesses internes, des failles ou en recourant à des attaques par force brute,
  • Ces comptes sont ensuite utilisés pour voler des données et installer des portes dérobées,
  • Et enfin le chiffrement des données, et l’envoi d’une demande de rançon. Bien entendu ces rançons sont à payer en cryptomonnaies. En échange d’une clé de déchiffrement… et d’une garantie douteuse que les données volées ne seront pas divulguées.

La plupart des entreprises sont totalement prises au dépourvu lorsqu’elles reçoivent une demande de rançon.

Une faille dans Active Directory, baptisée « Zerologon », a ainsi permis le détournement d’un contrôleur de domaine entier : deux heures ayant suffit alors aux attaquants pour passer de l’email de phishing initial à la prise de contrôle totale.

Aux yeux des attaquants, l’entreprise est une véritable banque d’informations

Les entreprises génèrent et stockent de plus en plus de données, les transformant de fait en véritable banque d’informations pour les cyberattaquants. Et puisque l’entreprise tient aujourd’hui plus que tout à ses données, elle les échangera facilement contre de l’argent… Le cheminement est certes plus long mais la cible – la donnée – bien plus facile à capturer.

Comment limiter l’impact d’une cyber attaque ?

  • Commencer par la fin : le coffre-fort.
    Les attaquants ciblent les données, car c’est ce qu’ils peuvent monétiser le plus facilement.
    Où se trouvent les coffres-forts de données les plus stratégiques et les plus à risque ?
    Il faut veiller à ce que les données sensibles se trouvent dans le coffre-fort, et surtout que seules les personnes autorisées puissent y accéder. Il est également fortement recommandé que l’on puisse repérer un utilisateur effectuant un retrait inhabituel.
  • Déterminer son « rayon d’impact ».
    Si une faille touche l’un des systèmes ou des utilisateurs, à quelle vitesse sera déterminé le « rayon de l’impact » ?
    Quelles sont les données vulnérables, et quelles sont celles qui ont déjà été récupérées par les hackers ?Le fait de réduire le rayon d’impact en amont d’une attaque complique la tâche des cybercriminels. En optant pour un modèle de sécurité que l’on appelle « Zero Trust » les utilisateurs ou comptes ont accès uniquement aux systèmes et applications dont ils ont besoin.  Bien sûr, cela s’applique également aux données, en particulier aux données sensibles. Si les utilisateurs n’ont pas besoin d’accéder au coffre-fort, ils n’en ont donc ni les clés ni la combinaison.Plus le rayon d’impact est petit et le comportement quotidien des utilisateurs contrôlé, plus les contrôles de détection seront efficaces. Si les utilisateurs humains ne sont pas censés utiliser de comptes d’application, le fait qu’un ordinateur portable se connecte à un autre système avec un compte va immédiatement alerter. De même, si les administrateurs n’effectuent des modifications que pendant les heures de travail classiques et à partir de certains systèmes, l’accès en dehors de ces systèmes et plages horaires attirera tout de suite l’attention.
  • S’entraîner à répondre. Si des malfaiteurs se sont introduits dans la banque et que l’un des postes de travail, serveurs ou passerelles est compromis, il faut essayer de détecter la phase suivante de l’attaque. Voit-on la reconnaissance ? Repère-t-on une activité inhabituelle dans l’annuaire Active Directory ? Un accès inhabituel aux données ou aux systèmes ? Cela nécessite l’établissement d’une base de référence du comportement « normal » des utilisateurs. Les exercices de type attaque/défense (Red team/Blue Team) peuvent aider à appréhender le risque encouru.
  • Démultiplier la force utilisée pour parer les attaques.En matière de sécurité informatique, l’approximation n’est plus de mise. La moindre faille connue fera l’objet d’une tentative d’attaque. Trop de services informatiques ne sont pas en mesure de suivre l’application des correctifs. Si un site exige uniquement la saisie d’un nom d’utilisateur et d’un mot de passe, il sera ciblé par des hackers tentant de deviner la combinaison requise. De plus, un trop grand nombre d’entreprises autorise l’authentification à facteur unique sur des services en ligne.

En suivant ces conseils, les chances que l’entreprise s’en sorte face à des attaquants compétents et fortement motivés sont multipliées. Il n’est tout simplement pas réaliste de se contenter de vouloir les tenir à distance. De toute façon, avec la présence des ressources sur le Cloud et l’essor du télétravail, « l’extérieur » n’est plus qu’une donnée théorique.

Mettre ses données importantes à l’abri dans le coffre-fort. Le verrouiller. Le surveiller.

C’est à ces conditions qu’il faudra plus de quelques minutes à des pirates informatiques pour s’emparer des données sensibles, et les empêcher d’établir de nouveaux records…

Yaki Faitelson, PDG, co-fondateur de Varonis

Partager cet article

Nos billets d’humeur les plus lus

74 % des RSSI se disent prêts à payer le prix fort pour travailler avec des fournisseurs qu’ils considèrent comme des influenceurs

L’influence joue un rôle fondamental dans les choix des RSSI : 97 % d'entre eux utilisent…

Cybersécurité : quel rôle pour la presse et le contenu d’influence ?

55 % des professionnels de la cybersécurité consacrent 1 à 3 heures par semaine à la…