3 types d’attaques redoutées par les entreprises
En échangeant avec les RSSI et les DSI sur les actions à mener pour assurer une sécurité optimale de leurs systèmes d’informations, il est fréquemment question de sensibilisation des utilisateurs et de la mise en place des bonnes pratiques d’hygiène de sécurité. C’est incontestable, le facteur humain joue très souvent un rôle décisif dans les compromissions des systèmes d’information. Alors que la sensibilisation des collaborateurs et des partenaires est indispensable, il est fréquent d’observer des décisionnaires adopter un point de vue fataliste sur la situation et considérer que la sécurité par l’emploi de solutions techniques est un échec.
Ont-ils raison ? Pour essayer d’apporter des éléments de réponse dans cet article, nous abordons 3 techniques connues que les attaquants emploient pour pirater les systèmes informatiques d’entreprise, et face auxquelles les services de sécurité doivent lutter.
1 - Vulnérabilités zero-day au sein d’applications réseaux exposées sur internet
Nous démarrons par celle-ci, qui est souvent la bête noire des RSSI. Même en travaillant de façon acharnée pour obtenir un niveau de maturité en cybersécurité élevé, il reste aujourd’hui difficile de lutter contre ce type d’attaques, qui peuvent être ciblées ou opportunistes. Pour certains systèmes, le choix est fait d’exposer les applications métiers, les services de partage, d’administration, voire des environnements entiers d’applications, pour faciliter leur accès à distance. Pour d’autres, cette exposition généralisée représente un risque trop important, et il est décidé de ne rendre les applications accessibles qu'à travers une passerelle VPN exposée ou un bastion.
Que ce soit dans un cas comme dans l’autre, ces points d’exposition restent des portes d’entrées vers le réseau de l’entreprise, et les vulnérabilités inconnues des éditeurs sont, de facto, le point faible des systèmes les plus sécurisés.
La méthodologie d’attaque est simple. Si elle est opportuniste, l’attaquant connait une vulnérabilité zero-day qui affecte une application réseau dans une version donnée et détient l'exploit logiciel correspondant. En scannant le réseau internet ou en utilisant des outils en ligne comme Shodan, il obtient facilement une liste de candidats vulnérables. Il lui suffit alors de faire le choix de ses cibles pour potentiellement parvenir à les compromettre.
Dans le cas où l’attaque est ciblée, la méthodologie diffère : l’attaquant cherchera à lister les points d’exposition de la cible et à en déterminer les technologies et les solutions sous-jacentes. Quel VPN est utilisé et dans quelle version ? Quel serveur web fait tourner cette application métier, avec quel langage backend et quelles bibliothèques ? Une fois ces informations obtenues, il choisira le composant sur lequel effectuer sa recherche de vulnérabilités, mettra en place un environnement local de test, emploiera des méthodes de fuzzing ou d’audit de code source puis, une fois une vulnérabilité identifiée, mettra au point l’exploit logiciel correspondant.
A noter que l’exploitation de vulnérabilités zero-day de façon ciblée, est largement moins répandue que leurs homologues opportunistes. En effet, elle demande souvent des moyens et des ressources que seuls certains acteurs, comme les états, peuvent s’offrir.
Ces attaques sont vues comme une fatalité : une chose contre laquelle il n’est pas possible de lutter efficacement, et pour laquelle il n’y pas d’autres choix que d’accepter le risque.
Ainsi, la défense a plutôt tendance à considérer ce vecteur d’intrusion comme une épée de Damoclès, et préfèrera concentrer ses efforts sur d’autres aspects de sécurité : puisque l’on ne peut pas empêcher l’intrusion, acceptons-la, mais mettons l’accent sur la détection, la segmentation du réseau, ou encore les capacités de réaction des équipes. Mais ne peut-on pas vraiment éviter ce type d’intrusion ?
2 - Spear phishing sur les applications d’entreprise
Restons dans le domaine de l’exposition des applications, mais cette fois-ci, mettons de côté les vulnérabilités logicielles et concentrons nous sur le facteur humain.
A la différence de la précédente, cette technique est exclusivement utilisée dans les attaques ciblées.
Le spear phishing traditionnel, consiste à déterminer une cible et à employer des méthodes d’ingénierie sociale très spécifiques envers cette dernière pour obtenir des informations confidentielles et notamment faciliter une intrusion. La plupart du temps, l’attaquant va tenter d’obtenir des identifiants d’accès à des comptes mails.
Le spear phishing sur les applications d’entreprise consiste donc, pour l’attaquant, à lister les applications métiers, et les différents services exposés sur internet de sa cible pendant la phase de découverte, pour déterminer des mires d’authentification sur lesquelles envisager la récupération d’identifiants valides par hameçonnage.
A la différence de la précédente, cette technique est bien plus abordable par des attaquants disposant de moyens limités : pas de vulnérabilité logicielle à découvrir, mais seulement trouver une surface d’attaque et des identifiants valides.
En combinant des informations récupérées par scan réseau, avec de l’OSINT, et de l’hameçonnage, cela peut parfois être suffisant pour obtenir un accès. Côté défense, le niveau supérieur de la prudence se fera par la mise en place de MFA (Multi-Factor Authentication) sur l’application si elle le permet, rendant l’usage du simple couple utilisateur/mot de passe insuffisant pour autoriser l’accès, et demandant donc une validation par un facteur supplémentaire (application sur le smartphone de l’utilisateur, ou code envoyé par SMS par exemple).
La plupart du temps, cette mesure est suffisante, mais pas toujours. Face à un attaquant motivé, le mécanisme de MFA peut être contourné via certaines méthodes d’ingénierie sociale.
Par exemple, le système de l’attaquant peut se positionner entre l’utilisateur et le service final pour intercepter les échanges et donc les codes MFA renseignés par la victime auprès du service frauduleux en lieu et place du véritable service de l’entreprise. Une autre méthode (par exemple dans le cas d’une validation d’accès par notification push sur smartphone) consiste à manipuler l’utilisateur pour lui faire accepter la demande de connexion, comme ça a été fait lors de l’attaque envers Cisco que nous avons évoqué dans notre article "10 cyberattaques qui ont exploité le principe d’exposition".
Finalement, le succès de ce type d’attaque n’a l’air de ne reposer que sur une erreur de l’utilisateur, et par conséquent, il peut être tentant de penser que seule la sensibilisation des utilisateurs ne permette de se prémunir d’une telle compromission. Mais en réalité, l’attaque repose sur un autre élément essentiel : la possibilité pour l’attaquant de découvrir et d’accéder aux mires d’authentification des applications métier de l’entreprise. Si ces applications ne sont pas exposées, alors l’entreprise se prémunit automatiquement de toutes les attaques qui rentrent dans cette catégorie. Ainsi, dans ce cas, une solution technique, comme l’usage d’un VPN ou, mieux, du ZTNA permet de se prémunir.
3 - Les attaques par “supply-chain”
Cette troisième technique ne parlera pas d’exposition sur internet. beaucoup d'entreprises travaillent avec des sous-traitants, et certaines d’entre-elles ont besoin de fournir l’accès à une partie de leur système informatique à ces derniers. L’accès VPN est l’une des méthodes les plus couramment utilisées pour ce besoin.
De façon générale, les entreprises fournissent un accès VPN à leurs sous-traitants pour leur permettre d’atteindre les applications métiers sur lesquelles opérer. Le grand désavantage d’une telle méthode est le fait qu’elle ouvre l’accès au réseau ou à une partie du réseau de l’entreprise qui héberge les applications. Ainsi, un attaquant qui parvient à compromettre la machine d’un sous-traitant est alors en mesure d’accéder aux applications mais également à une partie du réseau de l’entreprise. Si un principe de micro-segmentation strict n’est pas appliqué, cela peut avoir des conséquences graves pour la sécurité du SI.
Ces attaques par “supply-chain” sont souvent ciblées.
Voici un scénario d’attaque : un pirate souhaite s’introduire au sein du système informatique d’une grande entreprise. Le niveau de maturité en cybersécurité de cette dernière est très élevé. En revanche, comme beaucoup de grandes sociétés, elle travaille avec des sous-traitants et leur permet d’accéder à distance à une partie de son système d’information via un VPN. Le sous-traitant est une petite société, à peine sensibilisée à la cybersécurité.
Via les réseaux sociaux, l’attaquant apprend l’existence de la relation qui lie les deux sociétés. Il décide ainsi d’attaquer le sous-traitant, par exemple via l’envoi d’un mail contenant un malware en pièce jointe et lui permettant, une fois exécuté, de prendre le contrôle de la machine de l’employé. Une fois connecté au poste de travail, il effectuera une phase de découverte du réseau : il détectera le réseau de la petite société mais également la partie du réseau du grand groupe auquel la société sous-traitante a accès à travers un tunnel VPN.
De cette façon, il sera en mesure de découvrir les services de la zone réseau auquel le sous-traitant à accès, mais également des applications auxquelles le sous-traitant ne devrait pas avoir accès. Etant connecté au réseau, il sera en mesure d’exécuter les attaques classiques que l’on retrouve au sein des réseaux internes (Man In The Middle, IP Spoofing, TCP session hijacking) pour espérer rebondir au sein d’autres zones réseaux de la société ciblée.
Comment se protéger ?
Ces techniques utilisent différents leviers pour pouvoir aboutir : l’attaque de services exposés sur internet, l’hameçonnage et l’ingénierie sociale envers les collaborateurs ou les sous-traitants, ou encore les faiblesses dans les méthodes de segmentations réseaux employées. La sensibilisation des utilisateurs est un sujet sur lequel il est difficile de faire l’impasse.
Cependant, restreindre la sécurité à cette seule sensibilisation est une erreur. De plus, il reste possible de se prémunir des attaques décrites ci-dessus par l’emploi de solutions techniques, et sans miser exclusivement sur la prudence des utilisateurs. La mise en place de solutions de type ZTNA (Zero-Trust Network Access) est, en effet, une façon efficace d'éviter d’exposer ses services d’entreprise sur internet et donc de se prémunir des attaques par exploitation de vulnérabilités zero-day sur de tels services par des attaquants externes.
Ces solutions permettent aussi de se prémunir des attaques par spear phishing sur les applications d’entreprises dont l’hébergement est maîtrisé par la société. Ou encore de segmenter finement les accès utilisateur-service, sans fournir d’accès réseau, et ainsi de lutter plus efficacement contre les menaces internes.
Pour en savoir plus, rendez-vous sur notre site.
Ne manquez pas non plus les prochains articles en vous inscrivant à la newsletter :