
Voici l'état des lieux de la cybersécurité après cette attaque
La cybersécurité est l'ensemble des dispositifs juridiques, technologiques et humains qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels. Elle existe pour contrecarrer les différentes attaques en provenance de l'internet (la cybermenace). Les pirates s'en prennent aussi bien aux particuliers qu'aux entreprises pour leur voler des données personnelles ou de l'argent. Equifax, une des plus grandes agences de déclaration de crédit à la consommation aux États-Unis a été victime d’une violation de données suite à une attaque qui a eu lieu le 29 juillet 2017. Plusieurs données ont été dérobées : 145,5 millions de numéros de sécurité sociale, environ 17,6 millions de numéros de permis de conduire, 20,3 millions de numéros de téléphone, et 1,8 million d'adresses e-mail.
Malgré toutes les mesures sécuritaires que prennent les entreprises, les pirates parviennent toujours à trouver le moyen de les contourner. Cela est parfois dû au manque de vigilance des entreprises dans l'application des correctifs sécuritaires dans leurs installations. Mais la cybermenace persistante vient aussi de l'agilité des hackers à se fondre dans la masse des employés de l'entreprise victime. Chris Morales, responsable de l'analyse de sécurité à Vectra explique que « chaque entreprise a un profil de comportement de réseau et d'utilisateur qui se rapportent à des modèles commerciaux spécifiques ». Il précise que « les pirates vont imiter et se fondre dans ces comportements, ce qui les rend difficiles à identifier ».
Les entreprises spécialisées dans les services financiers investissent le plus dans la cybersécurité. Elles disposent d'importants moyens financiers et humains pour assurer la sécurité des données financières, mais la cybermenace constitue une réalité à laquelle elles font face au quotidien. Aux grands remèdes, les grands maux, pourrait-on dire. Selon un rapport de Vectra sur les services financiers, « la Bank of America investit plus de 600 millions de dollars dans la cybersécurité par an et a déclaré qu'elle a un budget illimité pour se battre contre les cyberattaques et JPMorgan Chase dépense 500 millions de dollars par année pour la cybersécurité ».
Comment les pirates parviennent-ils à mener une cyberattaque malgré les mesures sécuritaires ?
Une étude réalisée par Vectra indique que dans le cas d'Equifax par exemple, « les pirates ont évité d'utiliser certains outils de piratage qui les auraient exposé à l'équipe de sécurité d'Equifax. Cependant, l'un des outils qu'ils utilisent leur a permis de construire des tunnels cachés de « commande et contrôle » dans Equifax ». Le rapport indique que cette attaque s'est faite en quatre étapes. D'abord, « le pirate installe plusieurs coquilles web, chacune avec une adresse web différente, ce qui a créé plusieurs tunnels cachés. Si l'un était découvert, les autres pourraient continuer à fonctionner ». Cette phase d'attaque est connue sous le nom de « commande et contrôle ».
« Une fois à l'intérieur du réseau, les pirates ont le temps de personnaliser les outils de piratage pour exploiter efficacement les logiciels d'Equifax, les requêtes et analyser des dizaines de bases de données pour déterminer lesquelles contenaient les données les plus précieuses ». Cette phase d'attaque est appelée la « reconnaissance ». Ensuite, « les pirates ont utilisé des outils de tunnellisation spéciaux pour échapper aux pare-feu, analysant et piratant les bases de données l'une après l'autre tout en stockant des données dans les propres systèmes de stockage de l'entreprise » : c'est la phase d'attaque connue sous le nom de « mouvement latéral ». Enfin, pour la dernière phase d'attaque connue sous le nom d' « exfiltration de données », « les pirates ont collecté une mine de données tellement volumineuse qu'il a fallu les diviser en de petits stocks pour éviter le déclenchement des systèmes de détection des anomalies et de prévention des pertes de données ».
Qu'en est-il de la cybersécurité après l'attaque d'Equifax ?
Vectra a procédé à l'analyse de l'industrie financière pendant six mois après l'attaque d'Equifax. Les résultats sont toujours aussi inquiétants. Les mesures de cybersécurité sont bien renforcées davantage, mais la menace demeure. Sur 10 000 équipements analysés, Vectra a détecté beaucoup plus de tunnels cachés de « commande et contrôle » dans les services financiers que dans tous les autres services réunis. Il y a aussi deux fois plus de tunnels cachés d'exfiltration de données. Du mois d'août 2017 à janvier 2018, les tunnels HTTP cachés sont passés de 7 pour 10 000 appareils à 16 dans les services financiers. Ce qui frappe plus à l’œil, selon Morales, est « le nombre important de tunnels cachés que les pirates utilisent pour échapper aux contrôles d'accès, aux pare-feu et aux systèmes de détection d'intrusion ».
Ce qui compromet la cybersécurité dans l'utilisation des tunnels cachés, selon le rapport, est qu'« ils sont difficiles à détecter, car les communications sont dissimulées dans plusieurs connexions qui utilisent des protocoles normaux généralement autorisés. Par exemple, les communications peuvent être incorporées sous forme de texte dans les requêtes HTTP-GET, ainsi que dans les en-têtes, les cookies et d'autres champs. Les demandes et les réponses sont masquées parmi les messages dans le protocole autorisé ».

Source : Vectra
Et vous ?


Voir aussi




Vous avez lu gratuitement 748 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.