Les exemples de sociétés victimes de pirates informatiques sont de plus en plus fréquents dans l’actualité. Quelles sont les grandes étapes d’une attaque informatique et quels sont les moyens utilisés ? Je vous propose dans cet article d’entrer un instant dans la peau d’un hacker.
Pourquoi toute entreprise devrait se sentir concernée ?
Selon le rapport annuel de Mandiant publiant ses observations de l’année 2015, les mots de passe restent le moyen privilégié des hackers pour compromettre une entreprise. Est-ce étonnant ? Pas vraiment. Si on liste le nombre d’outils disponibles pour mener des attaques, la récupération des mots de passe reste la technique la plus accessible et la plus simple pour les hackers, surtout que ces outils sont quasiment indétectables, redoutablement efficaces et passent sous le radar des anti-virus...
Genèse d’une attaque
Le cycle d’attaque basé sur le vol de mot de passe peut être modélisé en quelques grandes étapes clés, faisant toujours intervenir un compte à privilèges à un moment donné :
- La compromission initiale : ici, pas de règles. Que vous soyez une petite PME ou une grande entreprise du CAC40, personne n’est à l’abri d’être pris pour cible. Les motivations des hackers sont diverses et peuvent aller de la récupération d’information concurrentielles à la mise hors d’usage de toute l’entreprise.
- L’implantation : ici il est question de s’installer et conserver un accès confortable et discret. C’est dans cette phase ou l’attaquant scanne le réseau et découvre les cibles vulnérables.
- La récupération d’un compte privilégié : une base de données, le serveur d’email, un serveur de fichier sont autant de cibles intéressantes pour le hacker. Prérequis pour y accéder : avoir un compte. Et pas n’importe lequel si possible : un compte privilégié permettant d’avoir une emprise maximale !
- L’identification de la cible et les attaques latérales : une fois en possession des clés du royaume, le hacker peut identifier d’autres cibles et s’y connecter pour récupérer d’autres comptes d’accès jusqu’à mettre la main sur les données vraiment compromettantes. Ce sont les attaques latérales.
- L’extraction de données ou compromission de l’entreprise : quand l’attaque est rendue publique, les conséquences sont souvent lourdes. Typiquement, on trouve des attaques de type ransomware (où la France est dans le top 10 des pays les plus exposés) ou encore la publication des données de l’entreprise (on se rappelle de l’attaque du site Ashley Madison).
Retour sur un fait d’actualité
Une illustration parfaite de ce cycle d’attaque est celui de l’éditeur italien de solutions d’espionnage Hacking Team, société pourtant théoriquement aguerrie aux techniques de hacking. Dans une publication, le hacker décrit comment il a réussi à exfiltrer plus de 400 gigaoctets de données sensibles d’une entreprise. Ne trouvant pas de vulnérabilité simple, et sachant que la population cible était sensibilisée aux techniques de spear phishing ou autre social engineering, le hacker s’est penché sur une attaque de type « zero-day » sur l’un des équipements exposés sur internet. Il a ensuite remplacé le firmware de l’appareil vulnérable par un micrologiciel de sa confection. Une fois dans le réseau de l’entreprise, il est tombé sur des sauvegardes du serveur d’email lui permettant de finalement remonter jusqu’au mot de passe de l’administrateur Windows de l’entreprise…
A partir de là, il a pu espionner et récupérer d’autres informations comme les comptes privilégiés donnant accès au cœur de l’entreprise : le réseau de développement et les codes des logiciels. Les informations ont ensuite été révélées sur le darkweb, compromettant durablement la réputation de la société par la diffusion publique de liste de ses clients, de conversations email ainsi que des années de recherches et développement.
Personne n’est donc à l’abri, et les bonnes vieilles méthodes semblent avoir la vie dure. Quelques recommandations : adopter une approche holistique de la sécurité en se focalisant sur ce qui est essentiel, savoir mettre en place une stratégie face à une attaque pour limiter au maximum son potentiel destructeur !
Cyril
Pour aller plus loin
Comptes privilégiés : de la théorie à la pratique
Pour tout savoir sur les tendances 2016 de la cyberdéfense en 120 secondes
Orange Cyberdefense protège vos essentiels
Comptes à hauts privilèges : 6 raisons de s'en préoccuper
Après une expérience de consulting en sécurité chez Atheos, j’évolue aujourd’hui au sein d’Orange Cyberdefense dans le développement de service de sécurité autour de l’identité, accès et protection des données. Passionné de cybersécurité, j’ai l’esprit disruptif et le goût du challenge.