Sécurité IT : de la théorie à la pratique
FireEye estime que les entreprises ont globalement intégré les enjeux de sécurité informatique, mais qu’elles restent mal préparées face aux attaques.
Quand bien même elles ont globalement intégré les enjeux de sécurité informatique au-delà de la seule fonction IT, les entreprises restent insuffisamment préparées pour réagir en cas d’attaque.
C’est l’un des principaux constats établis par Mandiant dans l’édition 2015 – document PDF, 28 pages – de son rapport M-Trends.
La filiale de l’éditeur américain FireEye constate que les stratégies des cyber-criminels ont sensiblement évolué sur l’année 2014. Suffisamment en tout cas pour ne pas éveiller l’attention de leurs cibles, lesquelles mettent en moyenne 205 jours pour détecter une attaque… et ne sont que 31 % à la découvrir par elles-mêmes.
Le secteur des services aux entreprises reste le plus touché : il concentre 17 % des incidents recensés en 2014. Mais la plus forte progression est à mettre à l’actif du commerce (+ 10 points, à 14 %), qui dépasse la finance (10 %) ou encore la santé (6 %). Les sites Internet marchands sont généralement privilégiés aux points de vente physiques si le commerçant utilise un système de paiement basé sur des cartes à puce.
La communication autour des incidents n’est encore que rarement spontanée : elle intervient généralement après une exposition médiatique. Mais le processus se révèle d’autant plus crucial pour l’image de marque de l’organisation ciblée que les journalistes, les partenaires et les investisseurs, tout comme le grand public, exigent de plus en plus de clarifications.
Les experts de Mandiant se sont aperçus que les entreprises qui les mandatent pour enquêter sur des problèmes de sécurité cherchent à savoir le plus rapidement possible qui en est à l’origine. Un élément important pour jauger l’ampleur des dégâts… et gérer plus efficacement un éventuel emballement médiatique.
Pour vivre hackers, vivons cachés
Le retail s’est imposé comme un cas à part en 2014 : FireEye recense plus de 1000 entités touchées par des failles.
Les pirates s’intéressent notamment aux technologies de virtualisation utilisées pour se connecter à distance à des environnements sécurisés. Ils exploitent des faiblesses de configuration – y compris un mot de passe trop faible et l’absence d’authentification forte – qui leur permettent d’élever progressivement leurs privilèges et de remonter la chaîne jusqu’aux comptes administrateur… tout en prenant le soin de laisser des portes dérobées pour s’implanter durablement.
C’est dans cet esprit que Mandiant invite les commerçants à sécuriser leurs systèmes d’accès à distance en filtrant les utilisateurs autorisés, en limitant le nombre de méthodes d’accès et en se fondant sur le principe des privilèges minimum. Autres conseils : séparer au maximum l’environnement de gestion des transactions du reste du réseau et définir des listes blanches sur certains systèmes critiques afin d’éviter l’exécution d’application indésirables.
L’identification des malfaiteurs est rendue difficile par la multiplicité des outils qu’ils exploitent, jonglant entre des kits largement disponibles sur le marché et du développement sur mesure. FireEye cite l’exemple d’une attaque qui a impliqué plus de 60 variantes de logiciels malveillants.
Autre tendance montante : l’ingénierie sociale, qui consiste à récupérer un maximum d’informations sur des cibles d’intérêt pour nouer un contact « personnalisé » en se faisant passer pour des tiers de confiance. L’approche se traduit souvent par du phishing (hameçonnage), c’est-à-dire l’envoi d’e-mails d’apparence légitime, mais piégés. 72 % de ces messages électroniques sont envoyés en semaine, pour la plupart aux heures de bureau.
Les pirates savent aussi mieux se cacher. Par exemple avec des webshells, ces portes dérobées installées sur des serveurs SSL. Chiffrées, les requêtes entrantes et sortantes ne sont pas contrôlées par les réseaux non configurés pour inspecter ce trafic théoriquement « de confiance ». Autres techniques : la modification de fichiers de configuration sur des serveurs et l’insertion, sur des pages Web, de petits scripts qui exécutent du code inclus dans des requêtes HTTP.
Crédit photo : Mclek – Shutterstock.com