Tribunes

Attaques ciblées : augmenter le coût de l'attaque pour se protéger !

Les méthodes classiques sont inefficaces face aux attaques par ingénierie sociale. Une nouvelle approche est nécessaire.

PublicitéUne succession d'attaques ciblées a récemment défrayé la chronique : Ministère des finances, Union Européenne, Parlement australien, RSA, suite de l'attaque Aurora sur Google... Au-delà des effets d'annonces se posent maintenant des questions évidentes : que retenir et comment réagir face à ces attaques ?

Premier constat, les cibles se diversifient. Au-delà des entreprises et des états, ce sont aujourd'hui les fournisseurs de confiance numérique qui sont ciblés. En effet, en capturant leurs secrets de fabrique, les attaques vers d'autres cibles deviennent simples. Une analogie est possible avec le vol du plan d'une serrure pour mieux pouvoir la crocheter ensuite. Le cas RSA avec la fuite d'information sur les systèmes d'authentification forte ou encore la délivrance de faux certificats par Comodo permettant l'usurpation de l'identité de certains sites de Google ou encore Microsoft sont des exemples criants.

Deuxième constat, les méthodes d'exécution des attaques sont variées mais reposent toujours sur de l'ingénierie sociale et une détermination particulière à capturer des informations. Dans le cas de Bercy, le G20 était ciblé, chez Google, il s'agissait du code source des mécanismes d'authentification. Un phishing avec pièce jointe vérolée non détecté par l'antivirus est un cas classique. Mais nous avons également vu des attaques de sites Internet permettant de prendre le contrôle des postes de travail des rédacteurs. Une fois dans le SI, les attaquants rebondissent jusqu'aux postes les plus sensibles et capturent l'information voulue. Elle est alors exfiltrée en utilisant un canal autorisé (http, https, ftp...). La diversité des cas rencontrés montre qu'un attaquant déterminé trouvera un moyen pour rentrer dans le SI d'une organisation. Ce n'est pas en ayant un approche technique sur un canal particulier que la solution sera trouvée.

Mais alors comment se protéger de ces attaques ? Nous pensons qu'il est nécessaire de repenser le modèle de sécurité des organisations pour adopter une protection centrée sur les données.

Les données les plus sensibles doivent être protégées avec des moyens multiples et avancés afin de retarder l'intrusion et d'augmenter le coût de l'attaque. En parallèle des mécanismes de surveillance permettront de détecter des attaques et de réagir à temps. Les utilisateurs clés devront être fortement sensibilisés pour comprendre les contraintes supplémentaires et pour signaler des comportements inhabituels. De tels mécanismes de sanctuarisation existent déjà chez certains grands comptes avec succès même s'ils sont coûteux.

justement avant la mise en oeuvre de ces mécanismes, les données les plus sensibles devront être identifiées, et une analyse réaliste de leur impact en cas de capture devra être faite. Il est en effet possible qu'il soit plus cher de protéger les données que d'accepter leur divulgation ! Finalement pour éviter de verrouiller tout le SI, il faudra accepter que les données les moins sensibles, et donc les plus courantes, soient moins protégées et puissent être capturées.

PublicitéToutes ces actions nécessiteront des moyens importants et une sensibilisation au plus haut niveau. Mais heureusement l'actualité a été largement relayée et nous avons déjà rencontré plusieurs RSSI ayant été sollicité par leur direction générale sur ces attaques ciblées ! L'engagement de la direction est évidemment un pré-requis et un accélérateur évident de ces démarches.

Article rédigé par

Gérôme Billois, Manager de la practice Sécurité & risk management de SOLUCOM
Après plus de 10 années d'expérience en sécurité (intégration, client final, conseil), Gérôme Billois dirige aujourd'hui un département dédié à la sécurité au sein du Cabinet Solucom.
Il est intervenu auprès de nombreux grands comptes internationaux sur des problématiques liées à la gouvernance sécurité et également aux infrastructures de sécurité. Il a en particulier piloté plusieurs projets relatifs à l'ouverture sécurisée du système d'information des entreprises vers les clients et les partenaires.
Il dispose d'une connaissance large sur les problématiques de sécurité (au niveau juridique, organisationnel, technique), nécessaire à la bonne appréhension des problématiques du cloud computing.