Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Solutions IT, Audit et Assistance Douanière

Comprendre les mécanismes d'une cyberattaque

29 Juillet 2015 , Rédigé par Antoine TAKOUDJOU Publié dans #Informatique

Plongée au coeur d’une cyberattaque

Cet article aborde l’anatomie d’une attaque utilisant la méthode de « spear phishing » pour pénétrer le Système d’Information d’une entreprise. Même si ce cas est de pure fiction, beaucoup d’attaques sont ou ont été très similaires dans le mode opératoire.

Le contexte des menaces informatiques a beaucoup évolué ces dernières années et les attaques de masse ont laissé place à des attaques ciblées, dont le mode opératoire est beaucoup plus complexe. Retour sur l’anatomie d’une attaque.

Nous vous proposons, dans cet article, d’aborder sous forme d’un exemple, l’anatomie d’une attaque utilisant la méthode de « spear phishing » pour pénétrer le Système d’Information d’une entreprise. Même si ce cas est de pure fiction, beaucoup d’attaques sont ou ont été très similaires dans le mode opératoire et la stratégie des cyberattaquants est souvent payante.

La cible

Créons, pour notre scénario, une société commerciale, World Company, leader sur son marché, qui vend des solutions à d’autres entreprises dans un secteur très spécifique et sur un marché international très concurrentiel. La valeur de cette entreprise est son savoir- faire, mais surtout sa base client. C’est ce que les cyberattaquants vont chercher à atteindre, mandatés par une société concurrente d’un pays émergent. Le mode opératoire de l’attaque et les codes malicieux pour pénétrer le Système d’Information vont donc être développés spécifiquement pour cette cible.

Première phase : connaître la cible pour mieux l’atteindre

Le premier travail des cyberattaquants va être d’étudier la cible: l’activité de l’entreprise, ses positions géographiques, son organisation… et finalement ses employés afin de sélectionner les « candidats » propices, c’est-à-dire ceux pouvant accéder aux données convoitées. Les techniques de social engineering permettent d’obtenir un grand nombre d’informations sur les employés ciblés: rôle dans l’entreprise, relations professionnelles, centres d’intérêt, carrière…

C’est ainsi que John Doe est sélectionné pour être le point d’entrée des premières phases de l’attaque. Ingénieur commercial, il a donc accès à la base client ainsi qu’aux données regroupant tout ce qui a été vendu aux clients de son entreprise avec les tarifs, les marges, les taux de remise… John Doe fait régulièrement du golf avec d’anciens collègues. Il est dans la société depuis quelques années et aimerait la quitter en espérant donner un coup de pouce à sa carrière. Les cyberattaquants vont alors envoyer un mail à Doe en usurpant l’identité d’un de ses partenaires de golf. Cet e-mail propose à Doe de se connecter sur le site d’un cabinet de recrutement pour réaliser un test d’aptitude.

John connaît l’expéditeur du mail et donc ne se méfie pas, et clique alors sur le lien. Le site, construit pour les besoins de l’attaque, lui propose de télécharger une petite application pour réaliser ce test. Notre ingénieur exécute le fichier qui lui retourne un message d’erreur indiquant qu’il ne peut pas fonctionner sur son poste de travail. Pour lui, cela ne va pas plus loin. Il ne voit malheureusement pas ce qu’il se passe sur son poste de travail, et ne se rend pas compte qu’il vient d’ouvrir malgré lui une brèche dans le Système d’Information de son entreprise. Doe ne va pas non plus faire appel au support informatique de sa société pour signaler qu’une application qu’il n’aurait pas dû utiliser au travail n’a pas fonctionné !

Deuxième phase : prise de contrôle et infiltration

Vous l’aurez deviné, l’application téléchargée et exécutée est un malware qui va agir silencieusement sur le poste de travail; on parle alors d’attaques furtives. Ce code forgé spécifiquement pour l’attaque est unique, il ne sera donc pas détecté par les outils de sécurité dont la reconnaissance est basée sur des signatures (antivirus par exemple).

Ce malware va dans un premier temps ouvrir un canal de communication chiffré pour joindre le serveur C&C (command and control) des attaquants. Cela va leur permettre de prendre la main sur le poste de travail et de télécharger d’autres codes utilisant des vulnérabilités 0-day, pour usurper ou utiliser les droits de Doe et pour se propager dans le Système d’Information à la recherche des données convoitées.

Le ou les malwares pourront éventuellement se répandre sur d’autres postes de travail pour faciliter la recherche et scanner les différents lecteurs réseau qui hébergent les données de l’entreprise. Cette phase peut prendre plusieurs mois, le temps d’atteindre le but recherché, de manière silencieuse en restant sous les radars des systèmes de sécurité traditionnels (low and slow).

Dernière phase : exfiltration

Une fois le ou les fichiers identifiés, ils vont alors être uploadés vers les serveurs des cybercriminels. Étant donné que nous parlons de fichiers de quelques mégaoctets, ce flux chiffré va encore une fois passer inaperçu. L’histoire se termine dans la majorité des cas par l’effacement de toutes les traces et l’autodestruction des codes malveillants utilisés. L’entreprise victime ne se rendra sûrement pas compte qu’elle a subi un vol de données.

Film catastrophe ?

Face à un tel scénario, finalement très simple dans le mode opératoire (mais pas dans les techniques employées), on pourrait croire qu’il n’y a pas vraiment de solutions pour éviter une attaque de ce type. En réalité, même si le risque zéro n’existe pas, il est possible de s’y préparer pour faire face à ce type de menaces. Étant donné que les cyberattaquants vont cibler les données ou biens essentiels à l’activité de l’entreprise, la stratégie de sécurité doit se focaliser sur ces éléments. Les solutions autour de la sécurité des données peuvent aider les entreprises à prendre des mesures préventives pour protéger ce qui doit l’être.

La sensibilisation des utilisateurs va aussi pouvoir permettre de contrer les premières phases d’une attaque comme celle que nous avons décrite. Doe n’aurait peut-être pas cliqué sur le lien dans le mail qu’il a reçu s’il avait regardé un peu plus en détail. Il se serait alors rendu compte que le nom de son interlocuteur ne correspondait pas à son adresse e-mail habituelle. Il aurait alors pu alerter son RSSI.

De plus, il est fortement déconseillé de lancer un fichier exécutable sur son poste de travail si l’on n’en connaît pas la nature exacte. Les éditeurs de sécurité sont au fait de ce type de menace. Il existe donc de nouvelles solutions permettant, via une analyse en environnement sécurisé et maîtrisé, de tester l’impact d’un code supposé malicieux. Il est alors possible d’investiguer pour rechercher les traces de ces malwares sur le Système d’Information et de les bloquer.

Partager cet article

Repost 0

Commenter cet article