Comment un système d'information devient-il une cible de choix pour un attaquant ?
Le principe général d’une bonne pratique de la sécurité sera, par la mise en place de règles simples, de protéger sa cible, autrement dit son système d’information.
Un système d’information est un ensemble complexe, distinguant d'une part les informations et d'autre part l'ensemble des composants pour traiter ces informations.
Les informations sont des biens importants pour chacun, elles sont tout ou partie intégrante de la chaîne de valeur de l'entreprise, puisqu'elles reflètent tout ou partie des connaissances de l'entreprise, de ses procédés de fabrication à ses fichiers clients et prospects, l’intérêt que chacun représente pour la richesse de l'entreprise, l'état d'avancement des processus, etc.
Il faut également voir l'entreprise dans son fonctionnement, en pleine activité, en pleine production de valeur ; c'est pourquoi les composants qui contribuent à créer, améliorer, protéger ces informations sont essentiels, mais ils ne sont que le support des activités et des opérations qu'ils réalisent.
En résumé, le SI est assez complexe, composé de réseaux privés (comme les réseaux locaux de l’entreprise, ou domestiques) ou de réseaux publics (essentiellement Internet ou les clouds).
Une entreprise n’est bien sûr pas limitée à un seul site, elle va donc s’interconnecter avec d’autres entités de l’entreprise, et c’est là qu’elle va s’exposer le plus aux attaques de cybercriminels. Elle est particulièrement exposée au moment où elle va diffuser ses informations sur le réseau Internet, sur le cloud, etc. Par conséquent, de nombreuses bonnes pratiques de sécurité doivent être mises en place.
De plus, les réseaux sont sujets à des évolutions courantes qui vont favoriser de nouvelles attaques. En quelques décennies, on est par exemple passé du réseau filaire, où l’entreprise maîtrisait parfaitement les informations et les médias de ces informations (médias = supports) au non-filaire (sans fil) qui a grandement facilité les échanges d’informations, en les ouvrant à plus d’interlocuteurs, pouvant parfois être des attaquants qui maîtrisent bien ces pratiques.
Et les objets connectés ?
Depuis une dizaine d'années, les portables inondent le monde numérique. La mobilité va donc permettre aux usagers d’avoir des ordinateurs qui contiennent des fragments du système d'information sur leurs disques durs. Ces personnes peuvent utiliser ces portables à leur domicile en emportant avec elles des fragments du système d’information et les partager sur leur smartphone ou sur leur montre connectée.
De cette manière, on passe d’un système d’information classique, où tout était concentré autour de fermes de serveurs, à un système d’information fragmenté en espaces de stockage, qui vont se diffuser à travers des ordinateurs mais également des objets connectés, et plus encore via des médias (des supports de communication) non maîtrisés comme des « wireless » (ondes radios) et des clouds publics. Ces fragments du système d’information correspondent à des connaissances et à des savoir-faire métier de l’entreprise (des plans de fabrication transmis par exemple à une imprimante 3D) !
C'est bien l'un des atouts des objets connectés que d'offrir de nouveaux services ; ce phénomène souvent synonyme de nouveauté suscitera le téléchargement de nouvelles applications. Des échanges vont alors s'engager entre les utilisateurs et les éditeurs de logiciels, bien souvent via les clouds, les réseaux informatiques ou les télécoms.
Les bonnes pratiques peuvent-elles vous protéger face aux attaques informatiques ?
C'est lors de ces échanges que beaucoup d'actions malveillantes peuvent être entreprises par un attaquant. C'est en cela que la présence des objets connectés offre une vulnérabilité pour le système d'information de l'entreprise.
Le principe général d’une attaque sera justement d'exploiter l'absence de mise en œuvre de ces règles simples, les bonnes pratiques. L'attaquant va en tout premier lieu chercher le défaut d'application de ces bonnes pratiques de la sécurité, il va scruter vos systèmes pour trouver ces défauts.
Enjeux clés pour le maintien des conditions opérationnelles (MCO)
Les enjeux constituent l'ensemble des raisons pour lesquelles un dispositif est mis en place ; par exemple, les enjeux d'un système d'information sont de permettre d'organiser et rendre disponible au mieux l'information, qu'elle soit accessible chaque fois que nous en avons besoin. Les applications du système d'information sont en cela très précieuses. Par exemple, c'est bien l"enjeu de l'application "Google Maps" que de nous fournir des itinéraires optimaux chaque fois que nous cherchons comment nous rendre à une nouvelle adresse. D'une certaine manière, on peut résumer l'enjeu de cette application en une phrase : "le maintien de la disponibilité de ces informations". Les enjeux du système d'information sont d'offrir un service global capable d'accompagner au quotidien, de façon opérationnelle, la disponibilité des services applicatifs du système d'information, y compris, bien sûr, celle de l'application "Google Maps", mais de façon plus générale, le maintien des services applicatifs dont l'entreprise a besoin pour qu'elle puisse assurer quotidiennement toutes les opérations nécessaires aux activités de production, vente, livraison et suivi des produits qu'elle vend.
Les enjeux du système d'information sont le maintien des conditions opérationnelles et la protection des biens informationnels. Les conditions opérationnelles sont la disponibilité et la performance des services (processus, activités, opérations de support) et des informations.
C'est pourquoi, lorsque l'on parle des enjeux des services informatiques de l'entreprise, on parle du maintien en condition opérationnelle (MCO) des applications.
Enjeux clés pour le maintien des conditions de sécurité (MCS)
Les enjeux de la cybersécurité ajoutent une condition au fonctionnement du SI ; il s'agit de la mise en place et du maintien des conditions de sécurité (MCS) visant à ne pas contrarier les conditions opérationnelles du SI, afin que chacune des opérations du SI se réalise sans être exposée et sans en exposer d'autres. Ces conditions contribueront ainsi au maintien des conditions de sécurité (MCS).
Dans le domaine de la cybersécurité, on retient les propriétés suivantes qui doivent être respectées pour garantir le maintien des conditions de sécurité :
Confidentialité
Propriété du système et de l’information traitée qui n’est connue que des personnes légitimes.
En particulier, les opérations de copie, diffusion, envoi de message en pièce jointe, ne doivent pas permettre de révéler de l'information ni les moyens d'y accéder ; les opérations par exemple de lecture, visualisation, consultation, offrant directement ou indirectement l'accès à ces informations ou aux lieux de leur stockage par exemple, ne pourront être effectuées que par des personnes dûment identifiées et légitimes pour les effectuer. Il en sera de même pour les opérations de diffusion ou de sortie de ces informations.
Intégrité
Propriété qui garantit que le système et l’information traitée ne sont modifiés que par une opération volontaire et légitime.
Les opérations ne doivent pas permettre de modifier de l'information ni les attributs ou le système qui la caractérisent ; les opérations apportant directement ou indirectement une modification de ces informations, de leur sens, leur structure, leur adresse, leur identification ou tout autre attribut qui la caractérise, ne peuvent être effectuées que par la volonté de personnes légitimes pour les effectuer. Il en sera de même pour toutes les opérations d'ajout, de suppression de cette information ou tout autre attribut qui la caractérise.
Disponibilité
Propriété qui garantit que le système et l'information traitée fonctionnent sans faille avec le temps de réponse attendu pour les personnes, entités ou processus légitimes. Le maintien des conditions de sécurité doit être continu dans l'exécution des opérations du système d'information et de l'information traitée. L'absence des conditions opérationnelles du SI ne doit pas rendre indisponibles les conditions de sécurité du système et de l'information traitée.
Il en résulte que la disponibilité permet d'opérer sur le SI selon la planification convenue pour les entités légitimes - des personnes, services ou processus.
On a vu que l'enjeu principal de la sécurité du système d'information est de maintenir les conditions de sécurité des systèmes d'information et reposera donc sur les 3 majeures de la sécurité du SI : DIC pour disponibilité, intégrité, confidentialité. On ajoute également une propriété essentielle dans l'amélioration, d'une part, des opérations du SI, et d'autre part, dans la sécurité du système et des informations qu'il traite : il s'agit de la traçabilité.
Traçabilité
Elle consiste à suivre et contrôler les activités malveillantes visant les informations et les opérations du SI, les opérations pour le MCO et le MCS.
Et les enjeux de sécurité des objets connectés ?
En plus de toutes ces atteintes, les objets connectés sont confrontés aujourd’hui à des questions de vie privée. Selon le droit français Art. 9 CC, chacun a droit au respect de sa vie privée : " Les juges peuvent[...]prescrire toutes mesures [...] propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée[...]". C'est pourquoi la vie privée devient aujourd'hui un véritable enjeu dans la mise en place des opérations de sécurité, en particulier pour les objets connectés.
Les bonnes pratiques sont finalement les éléments indispensables pour le maintien des conditions de sécurité des systèmes d'information. Il s'agit d'évaluer pour chaque bonne pratique comment et à quel niveau elle contribue au maintien de la disponibilité, l'intégrité, la confidentialité, la traçabilité, ainsi qu'à la protection de la vie privée.
Enjeux de l'attaquant
On considère néanmoins qu'une attaque réussie aura dû combiner 3 éléments fondamentaux :
une vulnérabilité ;
une menace (l’intérêt que suscite une entreprise, par exemple) ;
un plan d'attaque (un outil ou des codes informatiques appelés "exploit").
Sans vulnérabilité, sans exploit, l'entreprise la plus convoitée ne sera pas accessible à un attaquant ! De même, sans attrait pour un attaquant, une entreprise ne fera pas l'objet d'un plan d'attaque...
La vulnérabilité
L'exploit informatique, également appelé code malveillant, représente le programme informatique permettant d'exécuter et d'utiliser, à des fins malveillantes, cette vulnérabilité ou un ensemble de vulnérabilités d’un logiciel (du système ou d’une application) .
Les vulnérabilités sont référencées au niveau mondial via un organisme porté par le NIST ; les Common Vulnerabilities and Exposures, ou CVE, sont répertoriées dans un dictionnaire maintenu par un organisme appelé le MITRE, soutenu par le département de la Sécurité intérieure des États-Unis. Elles sont identifiées à l'aide d'un ID de la forme CVE-AAAA-NNNN (AAAA est l'année de publication et NNNN un numéro d'identifiant) puis de leur appartenance à une classe. Il existe plus d'une cinquantaine de classes ; l'exemple ci-dessous présente une vulnérabilité CVE-2018-6686 , découverte en 2018 sur le logiciel McAfee, de classe "Problème d'authentification" :
La menace
Une menace désigne une intention de nuire à autrui (en portant atteinte à ses biens ou à sa personne) et vise à susciter de la crainte chez la personne visée ; on considère généralement 4 principales menaces :
la déstabilisation ;
le sabotage ;
l'espionnage ;
la cybercriminalité.
SABOTAGE
Le sabotage vise par exemple la détérioration de documents ou matériels de production, ou encore l’indisponibilité des services clés de l’entreprise ; dans ce dernier cas, on parle de déni de service. Il peut s’agir de services web, mais également de services sur les lignes de production de l'entreprise et sur leurs réseaux. La menace de sabotage est identifiée par le Livre blanc sur la défense et la sécurité nationale de 2013. La prise en compte de cette menace est une priorité pour l’ANSSI, notamment à travers ses travaux avec les Opérateurs d’Importance vitale.
ESPIONNAGE
Une attaque en espionnage réussie : combien de marchés potentiels perdus ?
Une part importante des attaques informatiques à des fins d’espionnage traitées par le Centre de cyber-défense vise des acteurs du secteur économique.
Les attaques utilisées pour l’espionnage à des fins économiques ou scientifiques ont souvent de lourdes conséquences pour les intérêts nationaux. Il peut s’agir d’intrusions suivies de la conservation à distance d’un accès au système visé. L’objectif de l’attaquant est de maintenir discrètement son accès le plus longtemps possible, afin de capter l’information stratégique en temps voulu.
De fait, il faut parfois des années à une organisation pour s’apercevoir qu’elle a été victime d’espionnage. L’attaquant dispose alors de toute la latitude nécessaire pour mettre la main sur l’ensemble des informations qu’il convoite.
DÉSTABILISATION
La déstabilisation vise l’altération de documents publiés, afin de transformer des idées et des propos initiaux, de porter atteinte à l’image, d’ajouter des idées revendiquées ; les auteurs sont motivés par une idéologie ou une croyance. Enfin, la déstabilisation peut entraîner l’exfiltration d’information ou la divulgation de données, pour les rendre publiques dans le but d’intimider la victime et la conduire au versement d’une rançon.
CYBERCRIMINALITÉ
La cybercriminalité concerne tous les actes contrevenant aux lois en utilisant les données, les réseaux ou les systèmes pour commettre un délit ou un crime. Elles visent généralement l'obtention de données personnelles afin de les exploiter ou de les revendre : données bancaires, identifiants de connexion à des sites marchands, etc.
En conclusion, un attaquant poursuit un ou plusieurs objectifs ; il cherche à porter atteinte à ses victimes, afin d'en tirer parti.
Quelles sont les techniques mises en œuvre par l'attaquant ?
Le plan d'attaque
Afin de tirer parti des vulnérabilités de sa victime, l'attaquant établit un mode opératoire ; il s'agit d'une suite d'opérations visant à atteindre son but, et effectuées à partir d'outils informatiques exécutant des commandes système ou réseau. On considère généralement plusieurs étapes :
l'acquisition et la collecte d'informations sur la cible ;
l'accès initial ;
l'acquisition de droits d'accès ;
la pose de portes dérobées ;
l'effacement de traces.
En tout premier lieu, l'attaquant va sonder et cerner ses cibles potentielles ; selon ses intentions, il va réaliser un repérage des cibles qui offriront des points d'entrée. Il va effectuer de nombreuses recherches sur sa cible, avant d'accéder aux systèmes. Les techniques utilisées à cette étape sont des outils de sondage réseau et système.
Une fois sa première victime ciblée, l’attaquant cherchera à obtenir des droits « d’administrateur » (on parle alors « d’escalade de privilèges ») pour pouvoir rebondir et s’implanter sur les postes de travail et les serveurs de l’organisation où sont stockées les informations convoitées. Cette manœuvre est également appelée « propagation latérale ».
Une fois ses cibles atteintes, il recherchera les informations qu’il s’efforcera de capter le plus discrètement possible (on parle alors ici « d’exfiltration ») soit en une seule fois, en profitant d’une période de moindre surveillance du système (la nuit, durant les vacances scolaires, lors d’un pont…), soit de manière progressive plus insidieuse.
Les techniques d'attaque de base
On distingue 3 familles d'attaques correspondant à des effets et atteintes des données ou des services :
L'atteinte à la confidentialité : l'interception visant le vol ou la divulgation de données.
L'atteinte à l'intégrité : la destruction, l'intrusion ou la modification visant la falsification ou l'injection de données.
L'atteinte à la disponibilité : l'interruption visant la suspension ou l'arrêt du service.
Les attaques ciblées : Advanced Persistant Threat (APT)
En la matière, des attaques plus ou moins sophistiquées coexistent ; elles présentent la particularité de se dérouler en plusieurs étapes, dispersées dans le temps et dans l'espace. Elles peuvent être, à l'origine, dans certains cas d'actions ciblées et discrètes, menées pendant plusieurs mois ou années. Dans tous les cas, l’attaquant sait manifestement ce qu’il cherche et va se faire le plus discret possible pour pouvoir continuer ses méfaits le plus longtemps possible.
Les modes opératoires similaires et les techniques d’infiltration et d’exfiltration spécifiques de ces attaques en font une catégorie spécifique qualifiée par les analystes américains d'APT (Advanced Persistant Threat) ; elles touchent régulièrement des institutions et des industriels américains œuvrant dans des secteurs sensibles.
POINT D'EAU - watering hole
La technique du « point d’eau » consiste à piéger un site Internet légitime afin d’infecter les machines des visiteurs du domaine d’intérêt pour l’attaquant. Les cas sont nombreux de sites d’associations professionnelles ou de groupements sectoriels insuffisamment sécurisés et dont les vulnérabilités sont exploitées pour contaminer leurs membres, et permettre ainsi d’accéder aux réseaux les plus sensibles de ceux-ci. Les secteurs les plus stratégiques sont évidemment les plus ciblés.
HAMEÇONNAGE - spear phishing
Cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblées. Généralement, le courriel usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…), dans le but de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site web malveillant. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation constituant la véritable cible (on parle ici « d’infiltration »).
Qui peut conduire de telles attaques ?
Ce type d’attaque est destiné à infecter les ordinateurs de personnels œuvrant dans un secteur d’activité ou une organisation ciblés. Il revient aux forces de police et non à l’ANSSI – qui apporte toutefois à celles-ci son expertise technique – d’en identifier les auteurs. Toutefois, le Centre de cyber-défense constate que ce type d’attaque est le plus souvent le fait de groupes structurés. Ces attaques très ciblées exploitent des codes conçus pour traverser les dispositifs de sécurité techniques de leur cible. Le développement de certains codes malveillants employés requiert parfois de très importants moyens, mobilisant des centaines d’ingénieurs.
S’agit-il d’États ou de concurrents ?
Certaines cyber-attaques utilisent parfois une tactique militaire bien rodée, déployant l’éclaireur, le perceur (intrusion dans le système d’information), celui qui va déposer, celui qui va rechercher, celui qui va collecter et exfiltrer les informations à tour de rôle. Dans certaines opérations, le niveau de sophistication technique et la division méthodique du travail mis en place laissent penser que seuls des États ou des organisations dotées d’importants moyens humains et matériels peuvent conduire de telles attaques.
Les attaquants génériques de la norme ISO 27001
La norme ISO 27001 classe les motivations des attaquants de la façon suivante, elle reste générique et ne s'adapte pas à des situations particulières ; l'un des objectifs de ce cours sera de prendre en compte les motivations spécifiques en fonction des objets connectés :
Pirate informatique
Défi
Amour-propre
Rébellion
Statut
Argent
Escroc informatique
Destruction d'informations
Divulgation illégale d'informations
Gain financier
Modification non autorisée de données
Terroriste
Chantage
Destruction
Exploitation
Vengeance
Avantage politique
Couverture médiatique
Espionnage industriel (renseignement, entreprises, gouvernements étrangers, intérêts d'autres gouvernements)
Avantage concurrentiel
Espionnage économique
Initiés (employés peu qualifiés, mécontents, malveillants, négligents malhonnêtes ou ex-employés)
Curiosité
Amour-propre
Renseignement
Gain financier
Vengeance
Erreurs et omissions involontaires (par exemple, erreur de saisie des données, erreur de programmation)
Les vulnérabilités génériques de la norme ISO 27001
Matériel
Exemples de vulnérabilité
Maintenance insuffisante/mauvaise installation des supports de stockage
Sensibilité à l'humidité, à la poussière, aux salissures
Sensibilité aux variations de température
Stockage non protégé
Exemple d'incident de sécurité
Vol de supports ou de documents
Logiciel
Exemples de vulnérabilité
Tests de logiciel absents ou insuffisants
Failles bien connues dans le logiciel
Pas de fermeture de session en quittant le poste de travail
Mise au rebut et réutilisation de supports de stockage sans véritable effacement
Exemples d'incidents de sécurité
Exemples de vulnérabilité
Abus de droits
Corruption de données
Usurpation de droits
Traitement illégal de données
Dysfonctionnement du logiciel
Piégeage logiciel
Réseau
Exemples de vulnérabilité
Absence de preuves d'envoi ou de réception d'un message
Voies de communication non protégées
Trafic sensible non protégé
Point de défaillance unique
Absence d'identification et d'authentification de l'expéditeur et du destinataire
Architecture réseau non sécurisée
Exemples d'incidents de sécurité
Reniement d'actions
Écoute
Usurpation de droits
Espionnage à distance
Saturation du système d'information
Personnel
Exemples de vulnérabilité
Procédures de recrutement inadaptées
Formation insuffisante à la sécurité
Absence de sensibilisation à la sécurité
Absence de mécanismes de surveillance
Exemples d'incidents de sécurité
Traitement illégal de données
Vol de supports ou de documents
Utilisation non autorisée du matériel
Site
Exemples de vulnérabilité
Absence de protection physique du bâtiment, des portes et des fenêtres
Absence de procédure formelle relative à l'enregistrement et au retrait des utilisateurs
Absence de procédure de surveillance des moyens de traitement de l'information
Exemples d'incidents de sécurité
Destruction de matériel ou de support
Perte de la source d'alimentation en électricité
Vol de matériel
Abus de droits
Organisme
Exemples de vulnérabilité
Absence d'audits réguliers (supervision)
Absence de procédures d'identification et d'appréciation des risques
Absence de bonne attribution des responsabilités en sécurité de l'information
Absence d'enregistrements dans les journaux administrateurs et journaux opérateurs
Absence de procédures relatives au traitement de l'information classée
Exemple d'incident de sécurité
Reniement d'actions
Panne de matériel
Traitement illégal de données
Vol de matériel
