L’analyse des flux, un impératif face à l’industrialisation du piratage informatique

L’analyse des flux, un impératif face à l’industrialisation du piratage informatique

Eduquer les utilisateurs ne suffit pas. Les attaques des pirates visent toutes les entreprises et plusieurs de vos postes sont probablement déjà infectés par un malware. L’analyse des flux entrants et sortants est un prérequis auquel plus aucune entreprise et administration ne peut aujourd’hui faire l’impasse.

Les entreprises font aujourd’hui face à une véritable économie du piratage informatique. De vastes campagnes de spam permettent d’alimenter le marché noir des adresses de milliers de postes vulnérables. Des postes seront exploités par la suite pour lancer des attaques par déni de service distribué pour ceux qui ont le moins de valeur, ou serviront de point d’entrée à des attaques ciblées lorsque ceux-ci représentent un intérêt lucratif pour les pirates.

La grande majorité des attaques actuelles passent par le Mail et le Web et si le firewall reste bien évidemment indispensable à toute entreprise, son rôle se limite à réduire l’exposition de l’entreprise vis-à-vis de l’extérieur. Il est impuissant à stopper une attaque qui se propage au moyen de ces flux qui sont totalement licites. Même les attaques les plus avancées utilisent le poste client comme point d’entrée. Le hacker envoie à un utilisateur un email qui contient un lien vers le serveur qui doit réaliser l’attaque. Ce serveur va scanner son poste pour y déceler les vulnérabilités. Il va y installer un certain nombre d’outils qui permettront par la suite aux hackers de prendre le contrôle du poste puis de poursuivre leur attaque.

Enseigner l’hygiène informatique est nécessaire mais pas suffisant

La première mesure à prendre pour se préserver de ce type d’attaque reste d’éduquer les utilisateurs dans l’entreprise, c’est ce que l’ANSSI préconise dans sa campagne sur l’hygiène informatique. Mais plus les organisations sont grandes, plus la probabilité pour que quelqu’un clique sur un lien malveillant est élevée. Les RSSI des grands groupes constatent qu’il est difficile de descendre sous les 20 % de clics sur des emails conçus pour piéger les utilisateurs en dépit de campagnes de prévention répétées. Selon les chiffres généralement observés, sur un million d’ emails envoyés, environ 10 000 personnes vont cliquer sur le lien malveillant et 4 000 postes seront effectivement infectés et rejoindront les bases de données à la disposition des pirates. Parmi ces postes, figurent beaucoup de particuliers, mais aussi des entreprises et des administrations ciblées au hasard. Des postes qui, sur le marché noir, présentent une grande valeur pour ceux qui revendent ces adresses. N’importe qui peut alors acheter l’accès à ces postes et va pouvoir fouiller les données qui y sont stockées, mais aussi mettre en place un glissement latéral pour s’infiltrer dans le système d’information de l’entreprise visée.

L’analyse de flux vient compléter les systèmes de protection traditionnels

Aujourd’hui, une attaque informatique ne repose plus sur une seule personne, ce hacker de génie qui va mener l’attaque du début à la fin. Le hacking est aujourd’hui industrialisé et un malware qui n’a pas de cible bien précise a priori peut être exploité par un autre groupe de hacker afin de mener une attaque très ciblée. Eduquer les utilisateurs est important, mettre en place des outils sur les postes clients pour se prémunir contre ce type d’attaques est indispensable, mais les mécanismes de protection standards vont filtrer 95% des attaques. C’est pour contrer les 5% d’attaques qui parviennent à passer ces dispositifs qu’il est très important d’agir au niveau des flux Web et Mail afin d’analyser l’ensemble des échanges pour détecter les vecteurs d’attaque.

Les outils d’analyse des flux permettent de supprimer les spams et vérifier que les liens cliqués par les utilisateurs sont sains. Outre l’analyse des URL et la recherche des adresses IP blacklistées, les liens douteux sont remplacés par des liens intermédiaires qui pointent vers un proxy, un proxy qui lance la requête sur Internet à la place de l’utilisateur. L’analyse de l’échange dans cette zone protégée permet de protéger le poste client d’une attaque directe.

Un outil précieux : l’analyse rétrospective des attaques

Outre la phase de mise en place qui doit être menée par des experts, les équipements d’analyse de flux ne mobilisent pas de fortes compétences en interne. Les boitiers fonctionnent de manière transparente et sont mis à jour de manière automatique si on le souhaite. Une automatisation qui permet de profiter de la mutualisation des moyens de recherche en sécurité. Ainsi, l’équipe Talos de Cisco est constituée de 600 personnes qui analysent en permanence les nouvelles menaces repérées chez les clients de l’équipementier. Dès qu’une nouvelle menace est détectée, la base de signatures est mise à jour en quelques minutes seulement au niveau mondial. En outre, les solutions les plus évoluées telles que celles de Cisco permettent de détecter les attaques au moment où elles surviennent, mais aussi de détecter une attaque qui a déjà été menée par le passé. Ainsi, si un malware non encore répertorié est parvenu à infecter des postes de l’entreprise, il est possible de mener une analyse rétrospective de l’attaque. Celle-ci va permettre d’identifier les postes qui ont pu être infectés, une information extrêmement importante pour le responsable informatique qui va pouvoir rapidement circonscrire le périmètre de l’attaque et ne pas bloquer l’ensemble du système d’information pour analyser tous les postes et serveurs.

Si les grandes entreprises ont été les premières à se doter d’outils d’analyse de flux, toutes les entreprises et toutes les administrations ont potentiellement déjà des postes infectés dans leur système d’information. L’usage que va faire de ces points d’appui le hacker va dépendre de la valeur qu’il estime pouvoir en tirer de l’entreprise. Installer un cryptolocker sur le poste afin d’extorquer de l’argent son propriétaire, voler des secrets ou s’appuyer sur ce poste pour lancer une attaque de plus grande ampleur. Il ne faut pas sous estimer la menace. Même une entreprise ou une collectivité locale où le risque est a priori peu élevé peut voir un ou plusieurs de ses postes infectés. Des postes qui peuvent être activés à tout moment par le pirate qui aura racheté leurs coordonnées au marché noir. Seule l’analyse de flux permet de se prémunir contre une menace qui s’est aujourd’hui industrialisée.

A propos de l'auteur

Charles Gengembre

Manager BU Sécurité et Réseaux.

Recevez par mail les articles et actualités de Au coeur des InfrasJe m'inscris à la Newsletter