- Comment lutter contre les cyber-attaques indétectables
- Loi sur le renseignement : « toxique », affirme Gandi
- Avanade-Touch-Analytics-Dashboard-View-2
- Avec Avanade Touch Analytics, la BI se délivre en self-service
- Avanade-Touch-Analytics-Dashboard-View-2
En 2015, les spécialistes prédisent que les attaques APT, féroces et souvent invisibles, se multiplieront. Comment fonctionnent-elles et comment les éviter ? Eléments de réponse.
Pour Kaspersky, l’éditeur russe réputé pour ses équipes de détection, pas de doute, l’année 2015 sera celle de la multiplication des attaques d’APT (Advanced Persistent Threats). «Plus d’entreprises seront touchées, du fait que chaque petit groupe diversifiera ses attaques. En outre, les organisations de plus grande taille devraient faire l’objet d’un plus grand nombre d’attaques, provenant de davantage de sources», soutient-il. Et pourtant, le scepticisme sur le réel impact de ces attaques est courant.
Eviter le syndrome de Pierre et le Loup
A force d’entendre les prévisions d’apocalypse assénées avec un ton solennel, sans jamais avoir subi de véritables attaques de ce type, beaucoup de directeurs de la sécurité finissent par douter de la réalité de ces fameuses APT, qui font la Une des revues spécialisées depuis 3 ans. Celles-ci ne visaient d’ailleurs jusque-là que de très grandes entreprises internationales ou des Etats (lire encadré sur Bercy).
Des opérations quasi militaires
Mais des firmes, a priori expertes en sécurité, comme RSA Security, Google ou le conglomérat aéronautique Northrup Grumman, ont découvert et avoué (c’est la loi aux USA pour des firmes cotées) qu’elles avaient été elles-mêmes la cible d’APT en 2011 et 2012.
Pour les éditeurs Kaspersky, Symantec ou le fabricant de firewall et d’IPS Checkpoint, il ne s’agit plus de simples attaques mais d’opérations quasi-militaires auxquelles il faut faire face. Et là, pour tous, mieux vaut faire appel à des services d’audits, une attitude qui change un peu des classiques propositions des solutions logicielles ou matérielles. Plus «de solution miracle» pour continuer à «rouler». La menace APT apparaît comme une tendance de fond qui se caractérise par leur persistance, comme son nom l’indique.
Des backdoors découverts à l’occasion de migrations
Après avoir rendu «poreux» le système de défense de l’entreprise, l’opération de surveillance et d’extraction des informations stratégiques par de petits fichiers peut durer plusieurs années sans que personne ne s’en rende compte. C’est parfois à l’occasion d’un nettoyage de systèmes informatiques pour des transferts vers le Cloud que l’on découvre des fichiers «dormants» qui s’avèrent être en fait les portes dérobées, «les backdoors».
« En sécurité, ce qui manque souvent, c’est l’humain. » Hervé Schauer, HSC-Deloitte
Hervé Schauer, associé Deloitte et DG d’HSC, n’hésite pas à rappeler : «En sécurité, on oublie de dire que ce qui manque souvent, c’est l’humain : les individus formés pour l’exploiter et le gérer au quotidien. Quand la console de l’antivirus remonte une alarme et que l’administrateur, au lieu d’enquêter, répond : Bah ce sont des ploucs dans ce service avec leurs alarmes incessantes’, eh bien, cela se solde ensuite par une enquête coûteuse, après s’être fait exfiltrer des documents confidentiels.»
Il ne s’agit pas de remettre en cause le système de défense «classique» qui repose sur la sécurité périmétrique, basée sur des pare-feux et des systèmes de détection des intrusions (IPS), car il permet déjà de bloquer certains comportements anormaux. Mais dans sa phase de reconnaissance, l’APT vise l’identification des systèmes et applications connectés à Internet, de leurs versions et de leurs failles. Pour rester invisible durant cette phase, l’attaquant met en œuvre des techniques de contournement avancées dites AET (Advanced Evasion Techniques). Ce sont ces techniques qui lui permettent d’échapper aux firewalls et aux IPS.