Vous rappelez-vous du début de l’année 2017 ? Nous étions alors un peu plus innocents. Avant Petya, WannaCry, les vulnérabilités qui ont fuité de la NSA, Equifax, et Uber, tout n’était pas rose en matière de sécurité des données, mais je pense que quelques-uns parmi nous, des consommateurs et des entreprises, pouvaient encore dire que ces incidents n’avaient pas un impact direct.

La situation a changé après le piratage massif d’Equifax qui a touché 145 millions d’adultes américains, dont je faisais moi-même partie, et une série d’attaques de ransomware qui ont pris en otage les données d’entreprises du monde entier

Existe-t-il encore une grande entreprise américaine qui n’ait pas été piratée ?

Eh bien, non.

D’après Mikko Hyponnen, chercheur en sécurité, la totalité des entreprises du classement Fortune 500 ont été piratées. Il n’a pas fourni de preuves, mais une autre entreprise de recherche en cybersécurité possède quelques indices alléchants. Une entreprise nommée DarkOwl analyse le dark web à la recherche d’informations à caractère personnel ou d’autres données subtilisées et remonte la piste jusqu’à la source. Elle possède des preuves solides du fait que toutes les entreprises du classement Fortune 500 ont été, à un moment ou à un autre, exposées à un piratage de données.

Nous avions été avertis

En relisant les précédents billets du blog IOS, en particulier ceux de l’année dernière, je m’aperçois que la pandémie massive de vols de données était totalement prévisible.

En 2016, nous avions parlé avec Ken Munro, le principal testeur d’intrusions britannique spécialisé dans l’IoT. Passé le choc de savoir qu’il existe vraiment des cafetières Wi-Fi et des pèse-personnes connectés, Munro a expliqué que la « Sécurité dès la conception » n’est pas vraiment une priorité pour les fabricants de gadgets IoT.

Ou, comme il l’a si bien dit, « c’est aller vite en besogne que de penser que le fabricant ait pu un jour envisager l’éventualité d’un piratage. »

Si vous avez lu un billet du blog de son entreprise datant d’octobre 2015 sur le piratage d’une caméra connectée, vous y retrouverez tous les principaux ingrédients d’un modus operandi devenu familier :

1. Recherche de vulnérabilité ou de back door dans un gadget IoT, routeur, ou logiciel ;
2. Utilisation d’un port externe exposé pour rechercher un matériel ou logiciel suspect ;
3. Infiltration dans le système cible depuis Internet et injection d’un malware ; et
4. Piratage du système et propagation du malware en adoptant un comportement similaire à un ver.

Ce schéma d’attaque (avec certaines variantes) a été utilisé avec succès en 2016 par Mirai, puis en 2017 par Pinkslipbot et WannaCry.

WannaCry, toutefois, présentait deux nouvelles caractéristiques encore inédites dans les piratages IoT classiques : une vulnérabilité non-signalée – à savoir Eternal Blue – issue du groupe TAO top-secret de la NSA et, bien sûr, un ransomware comme charge mortelle.

Qui aurait pu imaginer que le code de la NSA puisse un jour arriver entre les mains des méchants qui l’utiliseraient alors pour mener leurs attaques dévastatrices ?

Quelqu’un avait tiré la sonnette d’alarme !

En janvier 2014, Cindy et moi avons entendu Bruce Schneier, la légende du chiffrement, s’exprimer sur la sécurité des données après l’affaire Snowden. Schneier nous avait mis en garde contre le fait que la NSA ne pourrait pas garder ses secrets et que son code finirait par fuiter ou être retravaillé par des hackers. Et c’est exactement ce qui s’est produit avec WannaCry.

Schneier s’exprimait alors en ces mots empreints de sagesse :

« Nous savons que la technologie se démocratise. Le programme secret mené actuellement par la NSA sera la thèse de doctorat de demain, et deviendra l’outil de piratage d’après-demain. »

Schneier a également noté que de nombreuses astuces utilisées par la NSA s’appuient sur le simple fait de contourner le chiffrement et les défenses au niveau du périmètre. Bref, les pirates de la NSA ont parfaitement su trouver les moyens de tirer avantage de nos mauvaises habitudes concernant le choix de mots de passe faibles, la non application des correctifs les plus récents ou l’absence de modification des paramètres par défaut.

Nul besoin d’être un cador en chiffrement (ni même d’être un génie).

Lors de mon récent tchat avec Wade Baker, l’ancien directeur de Verizon DBIR, le principe KISS (« keep it simple, stupid », autrement dit « faire simple ») m’est revenu à l’esprit. Sauf que Wade disposait de preuves statistiques solides pour étayer ses dires. Il m’a dit que la plupart des attaques n’étaient pas sophistiquées, mais exploitaient des erreurs directes des utilisateurs.

Malheureusement, même en 2017 certaines entreprises continuent de découvrir les règles du jeu. Pour voir un bon exemple d’attaque simple, il suffit de prendre le piratage massif d’Equifax en 2017, qui a été le résultat d’un bug connu dans les Struts Apache de l’entreprise, pour lequel aucun correctif n’avait été appliqué !

Des malwares de destruction massive

L’année 2017 a été marquée par des attaques de ransomware de grande envergure : Petya, WannaCry et NotPetya. À ce sujet, nous avons donné quelques conseils pratiques concernant NotPetya, la variante de Petya qui s’est propagée grâce à un point d’eau — téléchargée depuis le site Web d’un éditeur de logiciels ukrainien.

Tous les types ransomware mentionnés plus haut ont des points communs : tous utilisaient Eternal Blue et se propageaient par le biais de ports internes ou de ports externes ouverts. Le résultat était le même, le chiffrement de fichiers pour lesquels les entreprises devaient s’acquitter d’une rançon en monnaie numérique.

Les virus de ransomware ne sont pas nouveaux, eux non plus. Les vieux de la vieille se rappellent peut-être le cheval de Troie AIDS, un ransomware sous DOS propagé par sneaker-net.

La grande différence, bien entendu, est que la cuvée actuelle de ransomware est capable de verrouiller des systèmes de fichiers entiers (et pas uniquement le disque C:), et se propage automatiquement sur Internet ou dans une organisation.

Ce sont vraiment des malwares de destruction massive. Tous les ingrédients existaient déjà, il a suffi de quelques hackers entreprenants pour en faire de véritables armes de guerre.

Qu’en sera-t-il en 2018 ?

D’après moi, s’il est un domaine dans lequel les malwares continueront de donner des maux de tête aux spécialistes de la sécurité informatique, c’est celui des attaques PowerShell sans fichier et des attaques FUD (Fully UnDetectable), les malwares totalement indétectables. Nous avons écrit quelques billets sur ces deux sujets en 2017.

Ici non plus, rien de nouveau sous le soleil : cela fait des années que les hackers ont recours au piratage sans fichier ou sans programme malveillant. Certains outils et techniques ont été commercialisés dans l’objectif de tester les intrusions (mais bien sûr !), le premier venu peut aujourd’hui se procurer bien plus facilement ces outils douteux.

La bonne nouvelle, c’est que Microsoft simplifie désormais la journalisation de l’exécution de script PowerShell pour localiser les anomalies.

Les applications de white listing sont elles aussi en plein essor depuis quelques années. Nous avons même procédé à nos propres expériences en désactivant le PowerShell en utilisant les capacités de white listing d’Approcher. Remarque : pas simple à faire.

Il semblerait que le Devices Guard de Windows 10 soit vraiment prometteur pour empêcher les malwares de s’exécuter à l’aide des techniques de white listing.

Le point le plus important, malgré tout, est que les chercheurs en sécurité sont conscients que le hacker parviendra à s’infiltrer et que l’objectif doit être qu’il ait le plus de mal possible à exécuter ses applications.

Le white listing ne constitue qu’un aspect parmi tant d’autres de la limitation de la post-exploitation des menaces.

La Plate-forme de sécurité des données Varonis peut vous aider à protéger vos données de l’intérieur, surveiller le périmètre, et vous avertir lorsqu’une violation a lieu. Obtenez des informations complémentaires dès aujourd’hui !