Les logiciels malveillants sur-mesure, ciblés, exigent une nouvelle approche de la protection
Récemment, un analyste de la sécurité IT d’un distributeur majeur de composants électroniques, installé dans le sud-est des Etats-Unis, a repéré une activité réseau suspecte. Après avoir évalué les données du trafic réseau, il a constaté que quelqu’un ou quelque chose procédait à des examens réguliers de vastes blocs d’adresses IP.
«Nous avons été infiltrés », a estimé l’analyste auprès de SearchSecurity.com en requérant l’anonymat. «Nous avons trouvé de nombreux systèmes infectés dans l’un de nos entrepôts», a-t-il ajouté, «ainsi que sur notre réseau administratif ». Un attaquant était infiltré sur le réseau de l’entreprise depuis au moins six semaines; de nombreux postes de travail et plusieurs serveurs étaient compromis. L’analyste se dit aujourd’hui confiant d’avoir éradiqué le logiciel malveillant du réseau et d'avoir expulsé l’attaquant. Mais il n’est pas sûr de la manière dont l’infiltration a eu lieu. «Ne pas connaître le vecteur d’infection initial est préoccupant », explique-t-il. «Il est possible qu’il soit toujours sur notre réseau, quelque part.» Voici des caractéristiques d’infiltration qui sont à la fois rares et... banales. Il est fréquent qu’une attaque reste longuement non détectée. Ce qui est plus rare, c’est que l’équipe de sécurité découvre elle-même l’infiltration. Selon l’édition 2012 du rapport Verizon Business Data Breaches Investigations Report (DBIR), de nombreuses infiltrations restent longuement non détectées. Et 92 % des organisations victimes découvrent l’incident non pas grâce à leurs ressources internes mais grâce à des tiers. Bienvenue dans le monde des attaques malveillantes sur-mesure, celles où les attaquants utilisent, lorsque c’est nécessaire, des codes génériques largement accessibles comme un simple point de départ pour composer des attaques sur-mesure et passer au travers des mailles des filets de leurs cibles. «Le phénomène est difficile à quantifier», explique David Shackleford, vice-président sénior recherche et directeur technique d’IANS, à Boston. «Mais l’on observe clairement de plus en plus de logiciel malveillants sur-mesure.» Les anecdotes sont nombreuses, on parle presque quotidiennement d’attaques
zero-day. Un sondage conduit en août dernier, par CounterTrack, a révélé que plus de la moitié des 100 RSSI sondés ont été visés au cours des 12 derniers mois. Les logiciels malveillants ciblés - et les attaques en général - ont peut-être autant de succès parce que l’on se concentre un peu trop sur les logiciels malveillants, s’interroge Lenny Zeltser, membre senior de l’institut SANS. «Nous sommes souvent concentrés sur le composant logiciel de l’attaque, parce qu’il s’agit d’un artefact tangible que l’on peut voir et analyser une fois qu’il a été découvert», explique-t-il. «Mais il pourrait peut-être être plus utile d’appréhender l’incident dans un contexte plus large : les logiciels malveillants sont généralement utilisés dans le cadre d’une attaque ciblée où un adversaire motivé cherche à atteindre un objectif.» Selon Zeltser, les organisations devraient, pour se défendre de manière optimale, examiner tous les aspects du cycle de vie des attaques et éviter de se concentrer sur le logiciel malveillant. Ce changement de point de vue implique d’insister sur la capacité à détecter et à réagir aux incidents lorsqu’ils se produisent. Cette approche peut paraître évidente mais elle n’en est pas pour autant facile à adopter. Pour lutter contre les logiciels malveillants sur-mesure, les organisations doivent repenser non seulement les technologies qu’elles utilisent pour défendre leurs systèmes mais également les processus qu’elles ont mis en place. Dans un entretien accordé à SearchSecurity.com, Eugene Karsperky, Pdg et co-fondateur de l’éditeur Kaspersky Labs, a expliqué que les organisations doivent rendre bien plus difficile aux attaquants le contournement de leurs défenses. Il a cité le très célèbre Stuxnet, qui a réussi à se répandre dans un réseau totalement déconnecté d’Internet dans l’usine iranienne de Natanz. Un exemple qui montre à quel point il est difficile de protéger les réseaux, y compris les mieux isolés. Pour assurer la protection contre les attaques ciblés, Eugene Kaspersky a également cité les listes blanches d’applications, comme contre-mesure viable. «Si une application fait quelque chose qu’elle n’est pas censée faire, elle est immédiatement bloquée», a-t-il indiqué. «Créer un environnement de base où seules les applications en liste blanche peuvent fonctionner est probablement le meilleur moyen de bloquer n’importe quelle application malicieuse.» Pete Lindstrom, directeur de recherche chez Spire Security, a également évoqué les listes blanches, ou le contrôle applicatif, comme des solutions de protection importantes. Mais, pour lui, elles sont imparfaites. «Ce n’est pas simple dans tous les cas : les environnements changent, souvent pour certaines [...] Mais pour se protéger contre des attaques ciblées, les entreprises ont besoin d’être prudentes sans être effrayées.» Une part de cette prudence consiste à disposer d’équipes de réaction et de capacités d’enquête a posteriori. Selon Zelster, une fois qu’un logiciel malveillant sur-mesure est identifié, il est important d’examiner tant le logiciel malveillant que l’environnement dans lequel il a été découvert pour comprendre l'ampleur de l’incident. Selon lui, une entreprise doit être capable d’identifier les objectifs potentiels des attaquants en comprenant la nature des systèmes infiltrés et des données dérobées, les capacités du logiciel malveillant et la manière dont il a été utilisé : «l’analyse a posteriori aide l’entreprise à déterminer la manière de procéder pour contenir le périmètre d’influence de l’adversaire dans l’entreprise, pour supprimer les artefacts malicieux et enfin se reprendre.»
Adapté de l’anglais par la rédaction.