Les grandes attaques virales ou méga campagnes de spam ont clairement tendance à se raréfier. Différentes raisons à cela : meilleur niveau de protection globale (mais encore loin d’être parfait…), un embryon de prise de conscience des risques du net, plus vraisemblablement une baisse des retours sur investissements pour les cyber-criminels et reports vers d’autres médias comme les réseaux sociaux et bien entendu, les smartphones.
Mais les choses évoluent, notamment vers des attaques très ciblées, ayant un but précis.
Et côté cyber-espionnage, on fait plutôt dans le furtif !
Ce n’est cependant pas une nouveauté. Depuis quelques années, nous voyons bien cette tendance s’affirmer et avons pu en dégager un modus operandi générique, qui se présente comme suit, avec quelques contre-mesures associées :
Etape 1 : l’incursion
Après avoir rassemblé suffisamment d’éléments, sur l’individu visé (parfois plusieurs), un message est envoyé, en provenance d’un émetteur plausible, sur un sujet du moment, poussant à ouvrir une pièce jointe ou cliquer sur un lien. Il est alors probable que le maliciel recherche et utilise une vulnérabilité existante sur le système (rare en effet sont les systèmes totalement à jour…) ou plus exceptionnellement une faille « 0Day ».
Dans la mesure ou la charge utile (et malveillante…) a été développée spécifiquement pour cette attaque, il y a très peu de chance qu’un anti-virus classique (donc essentiellement basé sur la détection de maliciels connus via leur "signature" ) ne détecte l’intru.
Contre-mesure : une technologie de détection basée sur la réputation sera beaucoup plus efficace contre ce genre de menaces : l’unicité d’un programme le rendant particulièrement suspect; une gestion fine des configurations limitera le nombre des vulnérabilités disponibles.
Etape 2 : La découverte
Une fois derrière les murs, il s’agit d’identifier l’environnement et ainsi cartographier les accès, les serveurs, les réseaux, les systèmes de stockage…etc…etc…pour savoir comment progresser dans l’infrastructure et accéder à un maximum d’informations.
Contre-mesure : Le chiffrement des données, de répertoires rassemblant les informations sensibles, la gestion des accès aux documents, compliqueront considérablement ces opérations.
Etape 3 : la capture
Deux options ici, copier purement et simplement les documents présents et/ou mettre en place un autre maliciel (catégorie des APT : Advanced Persistant Threats), utilisant souvent des techniques de camouflages(rookits) pour rester en activité le plus longtemps possible. Leur travail va être de capturer, au fil de l’eau, différents types de données : ce qui est tapé au clavier, ce qui est envoyé par mail, ce qui est imprimé, et même en déclenchant le microphone de l’ordinateur (portable…) enregistrer les conversations alentour.
Contre-mesure : les technologies de détections de rootkits, un moteur de détection comportemental de dernière génération pourront identifier des activités étranges et la surveillance et la corrélation des évènements de sécurité à l’intérieur du réseau pourra identifier des incidents inhabituels.
Etape 4 : l’exfiltration
Les informations copiées ou capturées doivent être « sorties » du réseau, sans attirer l’attention, et vers un ou plusieurs sites, pas forcément impliqués mais contrôlés à distance par les attaquants : ce n’est pas parce que l’adresse IP est au Groenland que le voleur est un ours blanc !
Contre-mesure : le filtrage de contenu en sortie de réseau permettra de détecter trafics et contenus étranges, chiffrés indûment, vers des destinations nouvelles.
Bon, évidement, en vrai c’est largement plus compliqué, mais les moyens existent. Dès lors que l’on aborde le projet globalement, en prenant en compte les dimensions humaines, procédurales et technologiques, avec les moyens nécessaires, on peut arriver à un niveau de protection substantiel qui compliquera sérieusement la vie des cyber-barbouzes.
« Les ordres sont les suivants : on courtise, on séduit, on enlève et en cas d’urgence…on épouse ! »
Michel Audiard – Les Barbouzes.