Les cyberattaques ciblent entreprises et salariés
Les hackers considèrent désormais qu’il est bien plus rentable de concevoir des attaques sur-mesure pour dévaliser les entreprises. Le ciblage des salariés atteint un niveau de personnalisation tel que les phishing, ransomware et autres cryptojacking passent sous les radars des systèmes classiques de sécurité.
Oubliez les campagnes de ransomwares lancées au hasard et les e-mails de phishing remplis de fautes d’orthographe. Désormais, les pirates cibleront les salariés et leurs entreprises en leur envoyant des messages personnalisés ou des codes spécifiquement adaptés à leurs failles. D’abord, parce que les professionnels ont plus de patrimoine à dévaliser que le grand public : pourquoi, en effet, demander une rançon de 100 € à des individus pris au hasard quand un hôpital accepterait de payer 50 000 € pour récupérer les données critiques de ses patients ?
Pour les experts en cybersécurité, peaufiner une attaque contre une entreprise ne demande en fin de compte qu’un investissement minimal. « La seule complexité du ciblage est de trouver le cybercriminel qui parle la bonne langue. Tout le reste – quel secteur d’activité souffre de quelles failles, quels gens y travaillent, quels malwares sont possibles – est disponible en ligne. L’effort est donc devenu mineur par rapport à la valeur de ce que le cybercriminel peut mettre en péril », lance ainsi Florent Fortuné, ingénieur-ventes chez Forcepoint.
Enfin, l’avantage d’une campagne ciblée est qu’elle est originale. Techniquement, cela signifie qu’elle passera sous les radars des firewalls et antivirus classiques, conçus pour repérer les attaques qu’ils connaissent déjà. Pour un assaillant, les efforts de personnalisation qu’il investit dans une attaque s’avèreront donc bien plus rentables qu’arroser Internet de malwares rapidement bloqués, d’autant qu’il court moins le risque de se faire prendre.
Et tant pis si vous n’avez pas directement accès à un compte en banque richement pourvu, à des documents économiques monnayables, ou à suffisamment de puissance pour miner du Monero. Le pirate vous ciblera quand même s’il peut se servir de vous pour atteindre des personnes ou des sociétés plus intéressantes. « Aux États-Unis, nous avons ainsi vu des cas où, pour pénétrer les défenses d’une grande entreprise, des cyber-assaillants ont ciblé le concurrent qu’elle était sur le point de racheter. Cela leur a permis d’être automatiquement dans la place au moment de la fusion », témoigne Cyrille Badeau, directeur Europe du Sud de ThreatQuotient.
Piocher dans les outils du ciblage marketing
Le travail de ciblage est devenu facile car Internet regorge maintenant de bases de données pour identifier les meilleures victimes parmi la masse des internautes. Les hackers empruntent même aux outils du ciblage marketing les méthodes pour mener automatiquement toutes les tâches. « Les cybercriminels tomberont sur votre numéro de téléphone ou sur votre adresse e-mail parce qu’ils apparaissent quelque part », alerte Sébastien Gest, expert en cybersécurité chez Vade Secure. « En les insérant dans un moteur de recherche comme https://pipl. com, ils trouveront vos profils sur les réseaux sociaux, ce qui leur permettra d’obtenir vos nom, prénom, profession. À l’aide de scripts, ils les insèreront dans des textes contextualisés selon les secteurs d’activité, et ce, avec des phrases originales, générées par un outil de Content Spinning qui sert habituellement dans le domaine du référencement. »
Au final, il s’agit de présenter à la victime un lien sur lequel elle aura l’impression de cliquer en toute confiance et qui déclenchera, selon le cas, du minage de crypto-monnaie, un logiciel espion, un ransomware, ou encore l’apparition d’un site contrefait. Évidemment, tous sont aussi écrits pour avoir eux-mêmes une empreinte aléatoire, ce qui les rend désormais indétectables par les systèmes anti-intrusion habituels.
Sébastien Gest fait remarquer que cette tactique de ciblage ne se limite même pas à l’e-mail. « Afin de tromper encore plus la vigilance de leurs victimes, les cybercriminels peuvent chercher à envoyer ces liens au travers d’autres moyens de communication, comme les messageries des réseaux sociaux ou encore la plateforme collaborative Slack. Il leur suffit de s’inscrire sur le même groupe communautaire que leurs victimes pour avoir l’air de contacts crédibles », dit-il. Parfois, le pirate utilisera directement l’identité d’un véritable collaborateur. Peut-être la vôtre ? Rendez-vous sur le site https://haveibeenpwned. com et saisissez l’une de vos adresses e-mail, comme le ferait un cybercriminel qui aurait repéré votre profil. Si la réponse « Oh no – pwned ! » s’affiche, alors cela signifie que le mot de passe associé à cette adresse est disponible à la vente sur le darkweb. Sachant que la majorité des utilisateurs conservent les mêmes identifiants pour tous leurs services en ligne, ce sésame donne généralement accès à votre galaxie de comptes (LinkedIn, Facebook, Apple, Google, Office 365…). Le cybercriminel s’en servira à vos dépens pour espionner, dérober ou se dissimuler. Plus humiliant, le site https://ghostproject.fr va jusqu’à afficher gratuitement le mot de passe en clair, mais uniquement pour les adresses e-mails qui ont été tellement exploitées qu’elles n’ont même plus de valeur marchande sur les marchés maffieux.
Office 365, nouvelle vedette du phishing
Symptôme immédiat du ciblage des professionnels, le portail d’authentification Office 365 est désormais plus contrefait dans les campagnes de phishing que la page de connexion de Paypal, comme le révèle une étude récente de Vade Secure. « Au second trimestre 2018, 57 % des e-mails de phishing présentaient une URL qui pointait vers un faux site Office 365. Deux raisons à cela : d’une part la généralisation d’Office 365 chez les professionnels, si bien que les salariés ont pris l’habitude de tomber sur le portail d’authentification de Microsoft et y inscrivent leur identifiant et leur mot de passe par habitude, sans savoir qu’ils les laissent en réalité sur le serveur d’un pirate », explique Maxime Meyer, ingénieur Innovation chez Vade Secure. « D’autre part, voler l’identifiant de la messagerie Outlook sert aussi à se connecter à SharePoint et OneDrive. Dès lors, voler un compte e-mail revient à accéder à ces plates-formes sur lesquelles les salariés partagent entre eux propriétés intellectuelles, listings de clients et autres documents secrets, comme des tableaux Excel d’opérations financières, ou des fichiers Word avec des feuilles de route stratégiques », indique-t-il. Selon lui, ce sont autant de prises de guerre qu’un malfaiteur saurait grassement revendre à des concurrents au détriment de sa victime : « On a déjà vu des entreprises perdre d’importants appels d’offres internationaux parce qu’un acteur étranger avait su – comme par hasard – comment mieux se positionner », précise-t-il.
Pour Éric Heddeland, en charge de la zone Europe du sud chez Barracuda, le vol de comptes Office 365 est une manne pour les escroqueries dites de fraude au président. « Avec un tel sésame, l’assaillant accède à des informations – le calendrier par exemple – qui lui permettent de comprendre comment la société-cible est structurée. Il sait notamment quand les personnes clés sont en vacances et profite de ce moment pour se faire passer pour un directeur général adressant au service financier une demande de virement. Le destinataire n’ayant aucune connaissance du dossier, il s’exécute », raconte-t-il.
Sensibiliser l’humain, la protection qui manque
Normalement, Office 365 est doté d’une contre-mesure pour ce genre d’attaques : le double facteur d’authentification, qui envoie un SMS de validation à l’utilisateur quand quelqu’un se connecte avec son compte depuis une machine inhabituelle. « Mais dans un contexte où les salariés sont de plus en plus susceptibles de changer de poste dans un open space ou d’endroit de connexion lors de leurs déplacements, les entreprises désactivent cette fonction pour améliorer l’expérience utilisateur ! », se désole Maxime Meyer. Plus grave : les hackers ont déjà une parade au double facteur avec EvilGinx2. Ce proxy ne présente pas de faux portail Office 365, mais emmène les utilisateurs sur leur vrai compte Microsoft, auquel leurs machines habituelles se connectent sans demander de saisir le mot de passe. Sauf qu’en servant d’intermédiaire, EvilGinx2 prélève au passage les identifiants envoyés automatiquement.
Selon Éric Heddeland, les entreprises ont tort de considérer qu’elles seront automatiquement protégées lorsqu’elles basculent sur des services cloud. « Au final, c’est toujours l’homme le maillon faible. La meilleure protection consiste donc à sensibiliser les équipes », affirme-t-il. En l’occurrence, Barracuda a racheté le cabinet de conseil Phishline, spécialisé dans ce genre de formations, en 2016, et sa clientèle est justement essentiellement composée d’entreprises qui adoptent Office 365, grands comptes français y compris.
L’Intelligence artificielle pour détecter les menaces indétectables
Vade Secure opte pour sa part pour l’Intelligence artificielle : « Apprendre en amont à un moteur de Machine Learning le schéma statistique d’un faux portail Office 365 – type de mise en page, etc. – est le seul moyen de détecter en une fraction de seconde si un site est frauduleux lorsque l’utilisateur clique sur son lien », assure Maxime Meyer. Il met en garde contre l’inefficacité des systèmes traditionnels : « Les firewalls ne reconnaîtront pas les URL car soit les pirates les changent régulièrement, soit ils n’activent dessus du faux contenu Office que passé un certain délai après l’envoi de leur e-mail. Cela leur permet de tromper la vigilance des systèmes de sécurité qui vérifient à la volée tous les liens arrivés dans la boîte de réception », dit-il.
L’Intelligence artificielle, nouvelle marotte des fournisseurs de cybersécurité, se montre en vérité particulièrement efficace contre toutes les nouvelles menaces qui ne reposent plus sur une empreinte déjà connue. Il en va ainsi des derniers nés des moteurs de cryptojacking, dont Coinhive, qui minent de la cryptomonnaie sur le poste de l’utilisateur, non pas en lui faisant installer un malware, mais via un Javascript qui se déclenche lorsqu’on consulte certains sites. Les sites de téléchargement illégal s’emparent actuellement de ce genre de malwares car il leur permet d’attirer plus de visiteurs au prétexte de mettre moins de publicité intempestive. Mais ce ne sont pas les seuls : en fin d’année dernière, le site officiel de l’US-UFC, qui diffuse des retransmissions de combat de boxe, minait en douce des Monero sur les PC de ses abonnés pendant qu’ils regardaient des matches.
« Pour répondre à de telles attaques, il n’est pas possible d’utiliser des systèmes traditionnels puisqu’il n’y a même pas d’empreinte de malware à reconnaître sur le disque. Il faut donc analyser la mémoire, l’activité du processeur et avoir un moteur d’IA qui découvre que l’on est statistiquement en train de se faire pirater. Alors, il est possible de tuer en mémoire tout l’enchaînement de processus malveillants », affirme Frédéric Bénichou, de SentinelOne. Même son de cloche de la part de François Baraer, ingénieur-ventes chez Cylance, un éditeur dont l’antivirus à base d’IA parvient également à détecter des attaques dont l’empreinte est inconnue. « Notre solution qui reconnaît un schéma d’attaque est particulièrement efficace contre les nouveaux ransomwares dont le code change de signature régulièrement. Nous avons même pu démontrer qu’une de nos premières versions savait protéger un PC contre Petya et Wannacry alors qu’elle est parue des mois avant qu’ils soient écrits », se félicite-t-il.
La sécurité au niveau des salariés est un gruyère
Pierre-Louis Lussan, patron de la filiale française de Netwrix, estime pour sa part qu’à partir du moment où les victimes de cyberattawques sont ciblées, il devient urgent de prévenir avant de guérir. « Le problème fondamental n’est pas tant l’ingéniosité des hackers pour pénétrer les machines, il est surtout qu’on ignore au départ quel poste accède à quoi et quel utilisateur peut impacter quoi sur le SI. Dans les entreprises françaises que je rencontre, 80 à 90 % des attaques viennent de l’interne. Et elles ne sont pas nécessairement dues à des hackers ou des malwares infiltrés, il s’agit souvent de salariés qui portent juste atteinte à la sécurité du SI parce qu’ils ont la possibilité de le faire », révèle-t-il.
Il cite les assistants qui divulguent les e-mails confidentiels de leur supérieur parce qu’il les a chargés de répondre à sa place, les anciens collaborateurs qui continuent de consulter des documents critiques parce que leur compte n’a toujours pas été effacé dans l’annuaire Active Directory, ou encore les simples curieux qui vont fouiner dans les salaires, les brevets et autres rapports du comité exécutif. Tous sont stockés sur des répertoires partagés en libre-service sur l’intranet. Dans tous les cas, il s’agit de trous de sécurité laissés béants par des DSI surchargées. « Et cela arrive dans toutes les entreprises, y compris chez le géant Tesla qui s’est fait ainsi dérober ses secrets industriels en juin dernier par un ex-salarié », commente Guillaume Garbey, patron de la filiale française de l’éditeur Varonis.
Le phénomène n’est pas nouveau et des garde-fous existent. Problème, force est de constater qu’ils sont devenus inefficaces au regard des pratiques modernes. « Les systèmes de détection d’intrusion traditionnels – les SIEM – voient tous ces mouvements, mais ils génèrent trop de bruit, parce qu’il est devenu tout à fait commun qu’un collaborateur se connecte à n’importe quelle heure de n’importe où. Si bien que les responsables de la sécurité n’y prêtent plus attention, car ils croient avoir affaire à des faux positifs », dénonce Grégory Cardiet, expert en sécurité chez Vectra. « On parle de cyber-fatigue : même dans les SOC externes, les équipes croulent sous les faux positifs. Et le jour où un gros incident survient, les gens sont endormis, ils ne réagissent pas », enchérit pour sa part Gérôme Billois, spécialiste de cybersécurité et confiance numérique, chez Wavestone.
Vers une transformation digitale de la sécurité
Pour résoudre le problème, Arnaud Cassagne, directeur des opérations de l’intégrateur Newlode, engage les entreprises à faire à présent la transformation digitale de leur sécurité : « Il faut accepter de se débarrasser de solutions traditionnelles, prendre de la hauteur pour adopter des solutions de protection inédites, à base d’IA, mais aussi de Big Data pour analyser automatiquement tout le trafic, et de Cloud pour avoir une visibilité plus efficace. Par exemple, une solution de type SOAR (Security Orchestration and Automated Response), comme le logiciel Phantom que vient de racheter Splunk, automatise l’investigation en rejouant tous les processus qu’elle trouve suspects dans une Sandbox. C’est un outil qui ne protège rien, mais qui se connecte à toutes les API pour renseigner l’humain et activer les outils de protection de manière utile. »
Un avis que rejoint Gérôme Billois : « Avec un outil de SOAR, non seulement on automatise la détection des vrais incidents, mais aussi toutes les tâches rébarbatives comme l’ouverture d’un ticket, ou encore la récupération des éléments nécessaires à la résolution d’un problème. » Dans le genre, la solution qu’édite Netwrix attribue des scores à chaque action suspecte ; leur répétition augmentant le score, il devient plus simple d’identifier ce qui est réellement dangereux. Cognito, la console de surveillance de Vectra, qui cumule en plus des moteurs d’Intelligence artificielle, a quant à elle valu à son éditeur d’être classé par Gartner parmi les plus visionnaires.
Selon Arnaud Cassagne, le ratio entre le coût d’un tel outil et le temps qu’il ferait gagner aux équipes chargées de la sécurité serait de 1 pour 5. « Pas si simple », répond Julien Cassignol, architecte avant-ventes chez One Identity, « En France, la sécurité est considérée comme un frein par les responsables. Chez les grands industriels, le RSSI n’a pas assez de poids pour imposer une telle transformation. Dans les banques, les processus sont complexes et l’on se retrouve avec des projets qui contredisent son rôle de gouvernance. Les grands groupes sont fragmentés à cause des rachats qui mettent ensemble des solutions qui ne s’interconnectent pas », constate-t-il. Pour lui, les entreprises ne pourront garantir la sécurité sur leurs postes de travail que si elles font des choix homogènes. ❍
« Il faut relativiser le rôle de l’IA en cybersécurité »
Gérôme Billois, spécialiste cybersécurité et confiance numérique, Wavestone.
On ne peut pas encore qualifier l’Intelligence artificielle de technologie-clé de la cybersécurité. Aujourd’hui, on la voit surtout dans des dispositifs qui déclenchent des scénarios d’urgence et qui servent à éviter les menaces lorsque les équipes sont moins vigilantes… à l’heure du déjeuner par exemple. Mais il s’agit essentiellement de règles entrées à la main, qui fonctionnent surtout avec des référentiels simples. Elles sont très efficaces pour anticiper les fraudes, par exemple, puisqu’il n’y a qu’à prendre en compte des moyens de paiement à deux endroits, à une date, avec un historique. En revanche, nous n’avons toujours pas vu de Machine Learning faire preuve d’efficacité face aux cyberattaques, dont les schémas sont bien plus complexes.
Par ailleurs, tout le monde a oublié de sécuriser les Intelligences artificielles. Pourtant, trois attaques sont possibles contre elles. L’attaque par inférence, dans laquelle le pirate joue avec l’IA pour découvrir comment le modèle interne fonctionne. L’attaque par empoisonnement, en noyant l’IA sous de fausses informations pour déplacer ses seuils de réaction. Et celle par illusion, en modifiant suffisamment de données invisibles – des pixels par exemple – afin que l’IA valide l’information alors qu’il s’agit toujours d’une attaque pour les destinataires.
Infiltration : les pirates n’utilisent plus de malwares
Les pirates qui pénètrent le réseau d’une entreprise afin de lui dérober ses secrets n’utilisent plus rien qui soit détectable par les systèmes de protection classiques. C’est ce que révèle le rapport TA18-074A du FBI et du Department Of Home Security américains qui analyse l’infiltration récente de plusieurs centrales énergétiques des États-Unis par de supposés hackers russes. Selon celui-ci, les cyber-assaillants seraient parvenus à remonter jusqu’aux consoles de contrôle des équipements industriels SCADA en trompant la vigilance de toute une succession de salariés, à commencer par ceux de prestataires qui ne travaillaient même pas dans les centrales. Ils leur ont tantôt envoyé des e-mails de phishing Office 365 avec des URL aléatoires, tantôt avec des pièces attachées inoffensives – un CV pour une candidature fictive, un catalogue de produits dans le cadre d’un démarchage commercial, etc. Celles-ci téléchargeaient un fichier de mise en forme tout autant inoffensif, mais depuis des serveurs SMB détenus par les pirates. Le protocole SMB de Microsoft capturant au passage l’identifiant Windows des destinataires qui consultent ces pièces, les pirates ont pu reconstituer parfois l’e-mail de collaborateurs de confiance, parfois le login de personnes ayant accès à des serveurs de partage, sur lesquels il n’y avait plus qu’à déposer de nouvelles pièces. Au fur et à mesure que ces pièces étaient ouvertes et qu’elles enrichissaient la récolte de logins via SMB, les pirates ont su remonter à tâtons jusqu’à des PC présents sur les réseaux internes des industriels. À partir de ceux-ci, ils ont pu créer des comptes administrateurs leur ouvrant des accès distants, et ce, en n’utilisant que les commandes Windows ; PsExec, par exemple, qui sert à exécuter discrètement des processus sur un réseau depuis la machine la moins surveillée.
« Quatre moyens sont à l’étude pour mieux sécuriser l’identité »
Virginie Galindo, Voice of the CTO, Gemalto.
L’identité reste le point faible des systèmes sécurisés, car pour accéder à des données sensibles, les utilisateurs s’authentifient auprès de services. Or, il existe aujourd’hui de nombreuses façons de voler cette authentification. Pour mieux la sécuriser, un premier moyen à l’étude est de demander une validation avec un élément visuel, comme le scan d’un document d’identité ou, mieux, une prise de vue en 3D. Les smartphones sont capables de le faire et, derrière, les moteurs de Machine Learning s’avèrent très efficaces pour analyser les images ; ils ne se laissent pas tromper par exemple par la photo d’une photo ou par un maquillage.
Un second moyen est la biométrie augmentée, c’est-à-dire que l’on multiplie les informations qui caractérisent l’utilisateur (photo de l’iris, façon de taper sur un clavier, type de connexion habituelle…) au prétexte qu’il est plus compliqué pour un cybercriminel de toutes les récupérer. On leur attribue ensuite un score afin de qualifier la confiance de l’authentification. L’enjeu, néanmoins, est de bien déterminer les seuils et de savoir quoi faire dans quels cas.
Le troisième moyen est que l’identité ne soit jamais déchiffrée afin qu’on ne puisse jamais la dérober. Intel, AMD et ARM planchent chacun sur des dispositifs qui laissent l’information chiffrée en mémoire y compris lorsqu’elle est analysée par le système d’authentification. Le problème est que chacun propose une technologie propre et que le manque d’interopérabilité prohibe le déploiement en Cloud. À terme, il s’agit pourtant d’augmenter la confiance dans le Cloud.
Enfin, il y a l’idée d’utiliser la Blockchain pour stocker l’identité. C’est un domaine sur lequel travaillent les banques via le consortium R3, mais aussi le W3C. Le but est de diminuer l’effort de chacun en déployant