Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ?

Un état des lieux de la cybersécurité après cette attaque

Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ?
Voici l'état des lieux de la cybersécurité après cette attaque

La cybersécurité est l'ensemble des dispositifs juridiques, technologiques et humains qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels. Elle existe pour contrecarrer les différentes attaques en provenance de l'internet (la cybermenace). Les pirates s'en prennent aussi bien aux particuliers qu'aux entreprises pour leur voler des données personnelles ou de l'argent. Equifax, une des plus grandes agences de déclaration de crédit à la consommation aux États-Unis a été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet 2017. Plusieurs données ont été dérobées : 145,5 millions de numéros de sécurité sociale, environ 17,6 millions de numéros de permis de conduire, 20,3 millions de numéros de téléphone, et 1,8 million d'adresses e-mail.

Malgré toutes les mesures sécuritaires que prennent les entreprises, les pirates parviennent toujours à trouver le moyen de les contourner. Cela est parfois dû au manque de vigilance des entreprises dans l'application des correctifs sécuritaires dans leurs installations. Mais la cybermenace persistante vient aussi de l'agilité des hackers à se fondre dans la masse des employés de l'entreprise victime. Chris Morales, responsable de l'analyse de sécurité à Vectra explique que « chaque entreprise a un profil de comportement de réseau et d'utilisateur qui se rapportent à des modèles commerciaux spécifiques ». Il précise que « les pirates vont imiter et se fondre dans ces comportements, ce qui les rend difficiles à identifier ».

Les entreprises spécialisées dans les services financiers investissent le plus dans la cybersécurité. Elles disposent d'importants moyens financiers et humains pour assurer la sécurité des données financières, mais la cybermenace constitue une réalité à laquelle elles font face au quotidien. Aux grands remèdes, les grands maux, pourrait-on dire. Selon un rapport de Vectra sur les services financiers, « la Bank of America investit plus de 600 millions de dollars dans la cybersécurité par an et a déclaré qu'elle a un budget illimité pour se battre contre les cyberattaques et JPMorgan Chase dépense 500 millions de dollars par année pour la cybersécurité ».


Comment les pirates parviennent-ils à mener une cyberattaque malgré les mesures sécuritaires ?

Une étude réalisée par Vectra indique que dans le cas d'Equifax par exemple, « les pirates ont évité d'utiliser certains outils de piratage qui les auraient exposé à l'équipe de sécurité d'Equifax. Cependant, l'un des outils qu'ils utilisent leur a permis de construire des tunnels cachés de « commande et contrôle » dans Equifax ». Le rapport indique que cette attaque s'est faite en quatre étapes. D'abord, « le pirate installe plusieurs coquilles web, chacune avec une adresse web différente, ce qui a créé plusieurs tunnels cachés. Si l'un était découvert, les autres pourraient continuer à fonctionner ». Cette phase d'attaque est connue sous le nom de « commande et contrôle ».

« Une fois à l'intérieur du réseau, les pirates ont le temps de personnaliser les outils de piratage pour exploiter efficacement les logiciels d'Equifax, les requêtes et analyser des dizaines de bases de données pour déterminer lesquelles contenaient les données les plus précieuses ». Cette phase d'attaque est appelée la « reconnaissance ». Ensuite, « les pirates ont utilisé des outils de tunnellisation spéciaux pour échapper aux pare-feu, analysant et piratant les bases de données l'une après l'autre tout en stockant des données dans les propres systèmes de stockage de l'entreprise » : c'est la phase d'attaque connue sous le nom de « mouvement latéral ». Enfin, pour la dernière phase d'attaque connue sous le nom d' « exfiltration de données », « les pirates ont collecté une mine de données tellement volumineuse qu'il a fallu les diviser en de petits stocks pour éviter le déclenchement des systèmes de détection des anomalies et de prévention des pertes de données ».


Qu'en est-il de la cybersécurité après l'attaque d'Equifax ?

Vectra a procédé à l'analyse de l'industrie financière pendant six mois après l'attaque d'Equifax. Les résultats sont toujours aussi inquiétants. Les mesures de cybersécurité sont bien renforcées davantage, mais la menace demeure. Sur 10 000 équipements analysés, Vectra a détecté beaucoup plus de tunnels cachés de « commande et contrôle » dans les services financiers que dans tous les autres services réunis. Il y a aussi deux fois plus de tunnels cachés d'exfiltration de données. Du mois d'août 2017 à janvier 2018, les tunnels HTTP cachés sont passés de 7 pour 10 000 appareils à 16 dans les services financiers. Ce qui frappe plus à l’œil, selon Morales, est « le nombre important de tunnels cachés que les pirates utilisent pour échapper aux contrôles d'accès, aux pare-feu et aux systèmes de détection d'intrusion ».


Ce qui compromet la cybersécurité dans l'utilisation des tunnels cachés, selon le rapport, est qu'« ils sont difficiles à détecter, car les communications sont dissimulées dans plusieurs connexions qui utilisent des protocoles normaux généralement autorisés. Par exemple, les communications peuvent être incorporées sous forme de texte dans les requêtes HTTP-GET, ainsi que dans les en-têtes, les cookies et d'autres champs. Les demandes et les réponses sont masquées parmi les messages dans le protocole autorisé ».

Télécharger le rapport de vectra sur les services financiers

Source : Vectra

Et vous ?

Que pensez-vous de la cybermenace qui devient de plus en plus inquiétante ?
Que peuvent faire les entreprises pour lutter efficacement contre ces attaques ?

Voir aussi

Quels sont les scandales ou ratés dans l'industrie de la technologie qui vous ont le plus marqué en 2017 ? Petit tour d'horizon de l'année écoulée

Sécurité informatique : 26 % des entreprises manquent de temps pour appliquer les correctifs selon une enquête réalisée par Outpost24

Les données de 143 millions d'Américains ont été potentiellement exposées à un piratage d'une société de renseignement de crédit

Le piratage massif de données d'Equifax ne lui a coûté pour l'instant que 87,5 millions de dollars, l'entreprise n'a perdu aucun de ses gros clients