Cybersécurité : alerte aux attaques par rebond sur les ESN
Altran fin janvier, Wipro cette semaine. Ces deux attaques visant des prestataires de services IT ne serait que la partie émergée d’un ensemble bien plus étendu. Sans mentionner spécifiquement les ESN, l’Anssi vient de souligner la menace des attaques par rebond.
Fin janvier, Altran se déclarait victime d’un ransomware. Aussitôt après, Airbus reconnaissait également un « incident » de sécurité informatique. Aucun lien n’a, à ce stade, été établi entre les deux événements, et l’entreprise de services numériques (ESN) l’assure : « nous avons une absolue certitude qu’il n’y a eu aucun cas de propagation à l’un de nos clients ».
Mais les incidents de sécurité affectant des ESN ne s’arrêtent pas à cet exemple. Wipro vient très malheureusement, et à son corps défendant, de l’illustrer. Déjà, à l’automne dernier, le ministère américain de l’Intérieur alertait sur des attaques avancées persistantes en cours visant des fournisseurs de services managés, pas pour viser ceux-ci directement, mais leurs clients. Il vient même d’organiser plus récemment un « briefing » sur ce sujet.
Pour le Pdg d’Infogressive, Justin Kallhoff, les ESN « ne font que commencer à être vraiment visées », relevant une fréquence accrue des incidents au cours des 12 à 24 derniers mois. Robin Chow, fondateur et président de XBase Technologies, un prestataire de services managés de Toronto, l’activité même des ESN et des prestataires d’infogérance en particulier, en fait « de grosses cibles ». Car à partir d’un seul prestataire, un attaquant peut « obtenir l’accès à des centaines de cibles différentes d’un seul coup ».
Sans même aller jusqu’à envisager des opérations d’espionnage ou de sabotage, les ESN peuvent constituer des cibles alléchantes pour des attaques par rançongiciel, du fait d’une capacité potentielle à payer plus grande, que nombre de leurs clients. Et cela n’a pas échappé aux attaquants, estime Robin Chow.
Dans l’idéal, il conviendrait alors d’intégrer le choix de ses prestataires à son approche plus globale de gestion des risques. Mais pour Justin Kallhoff, l’exercice n’a rien de trivial… Pour autant, l’exercice montre que certains prestataires ne sont pas forcément parfaitement armés face à la menace.
Infogressive s’est prêté à l’exercice, proposant un test d’intrusion à l’un de ses prestataires de services managés – plus d’une centaine d’employés et 60 M$ de chiffre d’affaires –, se donnant 20 heures pour prendre pied dans leur environnement. Dans la pratique, moins de 10 heures ont suffi, en mêlant ingénierie sociale, hameçonnage ciblé – ou harponnage – et analyse réseau, pour mettre la main sur les outils d’administration à distance et en prendre le contrôle.
La publication de son rapport d’activité 2018 a été tout récemment l’occasion pour l’Agence nationale pour la sécurité des systèmes d’information (Anssi) de souligner l’importance du sujet : « en ciblant un ou plusieurs intermédiaires (fournisseur, prestataire, etc.), les attaquants parviennent à contourner les mesures de sécurité de très grandes organisation, pourtant de plus en plus conscientes du risque numérique ». Et justement, « la compromission d’un seul intermédiaire suffit parfois à accéder à plusieurs organisations ».
Ces attaques par rebond, et plus généralement sur la chaîne logistique dans son ensemble, donnent alors tout son sens au message de l’Anssi pour 2019 : « tous connectés, tous impliqués, tous responsables ».
Avec nos confrères de SearchITChannel.com (groupe TechTarget).