Accueil Cybersécurité Cyberattaques : 4 cas concrets en entreprise non décelables par des contrôles...

Cyberattaques : 4 cas concrets en entreprise non décelables par des contrôles de sécurité classiques

Comment les hackers sont-ils en mesure d’infiltrer les réseaux et d’échapper à la détection des contrôles de sécurité classiques. Voici 4 cas d’attaques ou de vulnérabilité que vous n’auriez peut-être pas imaginés et que l’éditeur Darktrace a rencontré chez ses clients. Instructif.

 

Téléchargement d’un malware sur un portable de l’entreprise

Une employée d’une entreprise mondiale de services financiers a contourné la politique du groupe afin de consulter des e-mails personnels sur un ordinateur portable de l’entreprise. Elle a ouvert ce qu’elle croyait être un document Word, mais qui était en réalité un fichier Zip malveillant contenant un ransomware. L’appareil a contacté un domaine externe inhabituel et a commencé à télécharger un exécutable suspect.

Activité anormale détectée :
Requête http vers deux domaines externes inhabituels
Téléchargement d’un fichier exécutable à partir d’un domaine irrégulier
Cryptage rapide de fichiers partagés sur le réseau (SMB), présentant un écart significatif par rapport au « modèle comportemental normal »

Des objets connectés associés à une attaque par déni de service

Les concepteurs d’un cabinet d’architectes utilisaient des tablettes de dessin intelligentes pour envoyer rapidement des schémas et des croquis à leurs clients et à d’autres membres de l’équipe. Inconnus du cabinet, ces appareils étaient connectés au Wifi du bureau sans que les identifiants de connexion par défaut n’aient été changés. De fait, ils étaient largement accessibles via un ensemble de canaux. Un attaquant extérieur pouvait y accéder au moyen des identifiants de connexion par défaut fournis avec le logiciel de la tablette de dessin.

Activité anormale détectée :
Pics anormaux des communications extérieures
Volume très inhabituel des données transmises à l’extérieur du réseau
Échanges avec une série de serveurs externes répartis dans le monde entier, avec lesquels ces appareils n’avaient encore jamais communiqué

Incident sur un aquarium connecté

Un casino nord-américain a installé un aquarium ultramoderne comme nouvelle attraction. Des capteurs avancés permettent de réguler automatiquement la température et la salinité de l’eau ainsi que la fréquence de la distribution de nourriture. Afin de s’assurer que ces communications n’interfèrent pas avec le réseau des données commerciales, le casino a configuré l’aquarium pour qu’il utilise un VPN dédié pour protéger les données de l’aquarium. Dès qu’il a été installé, des transferts de données anormaux depuis l’aquarium vers une destination extérieure inhabituelle ont été identifiés.

Activité anormale détectée :
Transfert de 10 Go à l’extérieur du réseau
Aucun autre appareil de l’entreprise n’avait communiqué avec cet emplacement extérieur
Aucun autre appareil de l’entreprise n’avait transmis un volume comparable de données sortantes
Les communications utilisaient un protocole généralement associé à l’audio et à la vidéo
Les données étaient transférées vers un appareil en Finlande, où le pirate informatique était parvenu à prendre la main sur l’aquarium.

La propriété intellectuelle menacée par le stockage de données

L’équipe sécurité d’un grand fabricant européen a décidé d’utiliser un serveur cloud pour stocker ses éléments de propriété intellectuelle. Ce serveur était protégé par un nom d’utilisateur et un mot de passe, mais les fichiers sur le serveur étaient accessibles sans aucune autre restriction d’accès et, surtout sans aucun cryptage. Tout utilisateur ou opérateur malveillant disposant de l’adresse appropriée pouvait accéder à ces fichiers sans avoir à s’identifier. Un appareil interne a téléchargé un fichier ZIP depuis un serveur inconnu. Généralement, cette activité indique qu’un contenu non autorisé pénètre sur le réseau. Dans le cas présent, l’anomalie a mis en évidence une vulnérabilité critique concernant la sécurité du serveur cloud utilisé par l’entreprise.

Activité anormale détectée :
Récupération d’un fichier ZIP anormal depuis un dossier externe
Serveur considéré comme totalement inhabituel pour le réseau