Sécurité : l’IoT n’élargit pas que la surface d’attaque
Un rapport signé Cisco donne un aperçu des défis que l’IoT – associé, entre autres, au cloud – pose en matière de sécurité informatique.
Ce n’est pas parce qu’une entreprise a connaissance d’une faille activement exploitée qu’elle va immédiatement appliquer les correctifs de sécurité disponibles.
Cisco établit ce constat dans son dernier rapport annuel sur la cybersécurité.
Le fournisseur IT américain en veut pour preuve l’épisode WannaCry, du nom de ce malware présenté comme un rançongiciel, mais dont l’objectif premier semble avoir été de détruire des données.
La brèche par laquelle ce dernier s’engouffrait résidait dans le serveur SMB de Windows. Microsoft avait diffusé de quoi la colmater le 14 mars 2017.
Les entreprises n’avaient toutefois véritablement commencé à déployer le patch qu’à la mi-mai, après la médiatisation d’un assaut foudroyant dont le bilan était alors annoncé à « 200 000 victimes », WannaCry s’étant répandu rapidement par combinaison avec un ver informatique.
Cisco a étendu cette problématique à l’IoT et en a conclu que les démarches étaient encore plus lentes… lorsqu’elles ont lieu : certains appareils ne peuvent tout simplement pas être mis à jour ou demandent une intervention spécifique du fournisseur.
Les entreprises elles-mêmes ne définissent pas toujours clairement le rôle de leur personnel dans la maintenance de l’IoT. Elles sont par ailleurs nombreuses à manquer de visibilité sur leur parc installé.
Une question de réflexion
Alors qu’elles se concentraient historiquement sur la couche réseau, les attaques contre l’IoT se déplacent progressivement vers la couche applicative. Elles sont de plus en plus nombreuses à exploiter des mécanismes d’amplification.
La réflexion DNS en est un exemple : les appareils dont les attaquants ont pris le contrôle sont utilisés pour envoyer des requêtes simples à des serveurs qui renvoient des réponses beaucoup plus lourdes… vers l’adresse IP des machines ciblées.
Les serveurs NTP, qui permettent de synchroniser les horloges locales, sont détournés dans le même objectif. Plus particulièrement via la commande « get monlist », qui renvoie la liste des derniers hôtes connectés.
Troisième voie : le protocole SSDP, qui permet à des appareils à la norme UPnP (Universal Plug and Play) de se signaler sur le réseau auquel ils sont connectés. Lorsqu’une machine reçoit le message envoyé à ces fins, elle demande une description complète des services que propose l’appareil UPnP. Des pirates peuvent là aussi faire en sorte que cette réponse soit dirigée vers une cible particulière.
Un fichier peut en cacher un autre
Au-delà de l’IoT, l’e-mail reste un canal important pour la diffusion de malware. Notamment par le biais de pièces jointes. Les fichiers Office sont les plus fréquents (38 % des pièces jointes analysées entre janvier et octobre 2017), devant les archives (37 %) et les PDF (14 %).
Les exécutables sont minoritaires, mais constituent le vecteur exclusif de certaines souches, comme l’adware MyWebSearch.
Une technique de plus en plus utilisée pour échapper aux technologies de bacs à sable consiste à imbriquer des documents ; typiquement, un fichier Word dans un PDF.
La tendance est aussi à l’exploitation de services cloud « légitimes » en tant que serveurs de commande et de contrôle (C&C) des logiciels malveillants. De Dropbox à Google Docs, ces services élargissent d’autant la surface d’attaque que leur usage passe parfois sous les radars des entreprises.
Autre tendance : l’utilisation du chiffrement. Il a triplé en un an chez les malware, estime Cisco : sur 400 000 souches malveillantes étudiées, près de 70 % s’en servaient au moins partiellement pour masquer leur trafic.