Attaques en ligne : une simple poignée de modes opératoires
« Nous pourrions peut-être réduire la majorité des attaques à une poignée de modes opératoires. » C’est la principale analyse que tire Verizon de l’analyse de tous les incidents de sécurité sur lesquels ses équipes ont été amenées à travailler l’an passé.
Quatre-vingt-dix pour cent des incidents de sécurité pourraient être décrits par seulement un mode opératoire sur neuf, estime Verizon dans l’édition 2014 de son rapport d’enquêtes sur des attaques informatiques survenues l’an passé.
Ce rapport, appelé Data Breach Investigations Report, et qui sera rendu public ce mercredi 23 avril, s’appuie sur les incidents dont ont été victimes plus de 50 organisations dans le monde entier, soit environ deux fois plus que pour la précédente édition. En s’appuyant sur son framework de partage d’informations VERIS, Verizon a standardisé les données d’un total de 1 367 violations de sécurité et 63 437 « incidents de sécurité », décrits dans le rapport comme des « événements de sécurité qui compromettent la confidentialité, l’intégrité, ou la disponibilité d’un actif informationnel » sans toutefois conduire nécessairement à la compromission des données.
Toutes les données contenues dans le rapport de Verizon sont classées suivant neuf modes opératoires, les plus prévalants d’entre eux - attaques sur les applications Web, cyber-espionnage et intrusions sur les systèmes de points de vente - comptant pour plus des deux tiers des violations de sécurité confirmées. L’ensemble plus vaste des incidents de sécurité montre quant à lui que les erreurs aléatoires, les logiciels malveillants et la menace interne sont les principaux vecteurs de menaces.
Bien sûr, se concentrer simplement sur les types de menaces pour identifier les plus courantes n’informe finalement qu’assez peu les RSSI sur les attaques auxquelles ils sont susceptibles d’être confrontés. Conscient de ces limites, Verizon a retenu neuf classifications et les a associées à des acteurs malveillants, aux types d’organisations visées, et aux contrôles de sécurité qui seraient les plus efficaces pour lutter contre chaque type d’attaque.
« Désormais, lorsque quelqu’un lit notre rapport, il n’a plus besoin de lire tout une section intitulée ‘hacking’ pour découvrir quels sont les types d’attaque les plus courants », explique Marc Spitler, analyste risque sénior chez Verizon. « Désormais, nous sommes capables de produire une cartographie directe, par industrie, des modes opératoires des attaquants, et nous pensons qu’il s’agit d’une information véritablement utile. »
Des systèmes de points de vente largement visés
Exemple criant de l’approche retenue cette année par Verizon et centrée sur les industries, les attaques visant les systèmes de point de vente ont compté pour 14 % des violations de sécurité confirmées, mais pour moins de 1 % des incidents de sécurité relevés. Proportions comparables pour les fraudes à la carte bancaire avec 9 % des violations confirmées mais moins de 1 % des incidents.
Lors des précédentes éditions du rapport de Verizon, la combinaison de ces deux types d’attaques comptait pour près d’un quart des violations de sécurité. De quoi laisser à penser aux lecteurs que la sécurité des systèmes de points de vente devrait être une priorité pour toutes les organisations. Mais en réalité, seules quelques industries très précises ont une raison de se sentir directement concernées par les attaques de cette nature.
Les intrusions sur les systèmes de points de vente, par exemple, compte pour 31 % des attaques visant les organisations de la vente de détail dans l’édition 2014 du rapport de Verizon, juste derrière les attaques en déni de service. Quant aux détournements de cartes bancaires, ils représentent 22 % des attaques visant les entreprises du secteur des services financiers, mais seulement 11 % de celles visant les organisations du management, et ne posent qu’un risque minime pour les autres industries.
Pour Rick Holland, analyste chez Forrester, le lien entre les attaques visant les systèmes de points de vente et certaines industries peut paraître évident, mais les organisations ne comprennent pas forcément de manière spontanée de quel type d’attaques elles sont susceptibles d’être la cible. De quoi rapprocher la nouvelle approche de Verizon de la réalité.
« Nombre de mes clients, de secteurs complètement différents, ont du expliquer à leurs directions qu’ils n’étaient pas concernés, à la suite des publications sur l’incident Target », explique Holland. Et d’ajouter que « nombre de RSSI ont été amenés à apprendre à leurs conseils d’administration et à leurs dirigeants pourquoi ils n’étaient pas concernés, ne serait-ce qu’en matière de systèmes de points de vente ».
En la matière, Verizon souligne, dans son rapport, que les problèmes de sécurité liés aux systèmes de points de vente touchent surtout les PME. Et cela, malgré les récents gros titres dans la presse. Les logiciels malveillants visant la mémoire vive ont été utilisés dans 85 % des 196 intrusions dans des systèmes de points de vente relevées par Verizon dans son rapport. L’exportation de données et l’obtention en force brute de mots de passe ont quant à eux concerné plus de la moitié des intrusions dans des systèmes de points de vente.
Les outils d’analyse de mémoire vive ont même, cette année, volé la vedette aux keyloggers, ces outils d’enregistrement des saisies clavier. « Notre théorie consiste à estimer que les keyloggers les plus courants sont devenus plus faciles à détecter. Et ils sont moins élégants et récoltent tous types d’informations », explique Spitler. Et de souligner que les outils d’analyse de mémoire vive sont « écrits pour des processus spécifiques » et s’avèrent un peu plus « industrialisés et efficaces ».
Le rapport de Verizon insiste sur plusieurs contrôles de sécurité qui peuvent être appliqués aux environnements de systèmes de points de vente, dont la restriction des accès distants aux tiers de maintenance, le déploiement de logiciels antivirus ou encore la surveillance plus étroite des trafics réseaux suspects.
Le cyberespionnage, un fléau persistent
Verizon a par ailleurs relevé une nouvelle croissance, l’an passé, des violations de sécurité attribuables à des Etats, à 22 % contre 21 % un an plus tôt. Tout en prévenant que cette progression peut davantage indiquer une augmentation du nombre de participants qu’un réel accroissement de l’activité. « Comme un réverbère éclairant les voitures en stationnement le long d’un trottoir, un accroissement du nombre de contributeurs permet de voir plus de voitures. Malheureusement, nous observons aussi que ces voitures ont leurs vitres brisées et leurs autoradios volés », explique le rapport.
Le cyberespionnage touche surtout les secteurs économiques riches en propriété intellectuelle : secteur public, industrie manufacturière, extraction minière… Plus de la moitié des attaques liées au cyberespionnage étudiées concerne des organisations aux Etats-Unis. Mais là encore, les chiffres sont plus susceptibles d’être le reflet de l’échantillon considéré que de la réalité.
Quant aux Etats impliqués, dans près de la moitié des cas, ils sont situés dans l’Est asiatique, avec aux premiers rangs la Chine et la Corée du Nord. Toutefois, la part d’attaques attribuables à des pays d’Europe de l’est a progressé l’an passé - plus de 20 % d’entre elles provenant d’acteurs russophones.
A relever toutefois que les attaquants affiliés à des états ont tendance à s’appuyer sur un éventail particulièrement large d’outils, recourant à des techniques telles que l’hameçonnage, les portes dérobées, les outils de chargement à distance de logiciels malveillants, ou encore des réseaux de commande et de contrôle. Et le rapport de recommander aux organisations concernées de se concentrer sur les bases du blocage, en appliquant régulièrement les mises à jour logicielles, en segmentant les réseaux, en enregistrant les activités suspectes, et en renforçant l’efficacité de leur réponse aux incidents. « Le véritable problème est un adversaire déterminé, compétent, patient, et doté d’importantes ressources qui va chercher inlassablement une faille jusqu’à la trouver », indique le rapport.
La sécurité des équipements, un problème pour le secteur de la santé ?
Le vol et la perte d’équipements ont compté pour 14 % des incidents de sécurité étudiés par Verizon en 2013, mais pour moins de 1 % des violations de sécurité confirmées. Le rapport explique partiellement ces chiffres, indiquant que les terminaux ont 15 fois plus de chances d’être perdus que volés. « C’est important parce que cela suggère que la vaste majorité des incidents relevant de ce schéma ne sont pas liés à des actions malicieuses ou intentionnelles. Ainsi, les principaux consistent à éviter que les employés ne perdent des choses et à minimiser l’impact de ces incidents. »
C’est dans le secteur de la santé que ce type d’incident apparaît prévalent, représentant 46 % de tous les incidents constatés, alors que le vol et la perte d’équipements ne touche que 19 % des organisations d’autres secteurs.
Selon un membre du conseil d’administration de la NH-ISAC resté anonyme, la maturité du secteur de la santé tend à améliorer la gestion des équipements volés et perdus, gonflant artificiellement les statistiques. En outre, aux Etats-Unis, les services de santé restent largement prodigués par des entités locales, voire régionales, s’appuyant encore souvent sur des équipements physiques tels que des clés USB pour transférer les données de santé protégées. Et justement, selon le rapport de Verizon, la perte et le vol de clés USB apparaissent parmi les cinq principaux schémas d’affection des organisations.
Et le rapport de recommander le chiffrement des équipements, la sauvegarde des données, ou encore le recours à des matériels peu attractifs pour limiter l’intérêt des attaquants.
Le problème du vol d’identifiants
Malgré l’effort de Verizon pour organiser ses analyses et ses recommandations par secteurs d’activités, il est une menace qui semble ne pas connaître de frontières : le vol d’identifiants. Une activité si populaire qu’il s’agit de la première action, selon le rapport de Verizon, concernant plus de 422 incidents. Selon Spitler, personne ne devrait être surpris que les vols d’identifiants soient impliqués dans une telle diversité d’attaques, ni que les attaquants s’y intéressent autant. De fait, trouver et exploiter des vulnérabilités dans un environnement d’entreprise est plus chronophage pour les attaquants que l’utilisation d’identifiants pour parcourir un réseau sans être découvert.
« Les données de cartes de paiement sont très prisées par les attaquants aux objectifs économiques et financiers. Mais les plans, les e-mails et les schémas techniques sont ce que recherchent les attaquants liés à l’espionnage », explique Spitler. Reste que « l’utilisation d’identifiants volés conduit à tout cela. Et un grand nombre d’actions sous-jacentes conduit in fine à l’obtention et à l’utilisation d’identifiants ».
Pour Holland, il serait temps que la prise de conscience d'un besoin impératif de protection des identifiants progresse : leur vol est l’une des cinq principales menaces recensées par le rapport de Verizon depuis trois ans. Et pourtant, un grand nombre d’organisations n’ont pas encore déployé les contrôles nécessaires pour éradiquer cette menace, à commencer par l’authentification à double facteur : « il s’agit de l’un des fondamentaux que les entreprises omettent alors qu’elles mettent en place une onéreuse plate-forme d’analyse de logiciels malveillants. »
Adapté de l’anglais par la rédaction.