adimas - Fotolia
La cybersécurité vue par les hackers
Conduite en sondant des hackers, une nouvelle étude sur la sécurité des systèmes d’information souligne ce qui est souvent négligé. Mais elle montre aussi l’absence de réponses faciles.
La plupart des études sur la cybersécurité ont tendance à recueillir des informations provenant des mêmes sources : les professionnels et les fournisseurs. Mais une nouvelle étude tente de prendre une perspective rarement adoptée : celle des pirates informatiques et des spécialistes des tests d’intrusion - les pentesters.
Pour son Black Report, Nuix a réalisé un sondage lors des conférences Black Hat et Defcon 2016 à Las Vegas. Chris Pogue, RSSI de Nuix, revendique une approche « tout à fait contraire à la compréhension conventionnelle de la cybersécurité ». Et d’expliquer : « certaines techniques défensives dont vous pensez qu’elles vont stopper un attaquant ne vont même pas le ralentir. D’autre qui vous paraissent totalement arbitraires ont en fait un impact considérable sur votre posture défensive. Nous avons constaté que, sans équivoque, la perception et la réalité ont désespérément d’être réallignées ».
Le Black Report ciblait spécialistes des tests d’intrusion et les pirates informatiques parce que, comme l'a souligné un répondant, « la seule différence entre moi et un terroriste est un morceau de papier [un contrat de travail] rendant ce que je fais légal. Les attaques, les outils, la méthodologie, ce sont les mêmes ».
Le chercheur en sécurité et ancien pirate Hector X. Monsegur n’a pas caché son enthousiasme pour ce genre d’étude car il lui apparaît « extrêmement important que les gens aient accès à des informations qui les renforceront, ainsi que leurs organisation. Les pirates et les spécialistes du test d’intrusion traitent avec la réalité des problèmes de sécurité au quotidien, devenant même victimes d’attaques eux-mêmes. Explorer leurs pensées et leurs expériences face à la cybersécurité est une très bonne première étape. Bien que des conférences telles que Defcon, Black Hat, HackInTheBox, etc. permettent aux chercheurs de divulguer des informations, des méthodologies et des techniques de vulnérabilité, la vérité est que la plupart des gens ne savent pas comment accéder à ce contenu ni même qu'il existe ».
Joseph Blankenship, analyste chez Forrester, en convient également et estime que l’étude « fournit une vision utile de la sécurité » : « l’étude offre une perspective que je n'ai pas vue dans d'autres rapports sur la cybersécurité. Je ne crois pas non plus que de nombreux décideurs en matière de sécurité disposent de ce point de vue. Obtenir la perspective d'un évaluateur de la sécurité est utile et peut aider à guider une certaine prise de décision ».
Méthodologie des attaques
Bien entendu, toutes les informations contenues dans le rapport ne sont pas en contradiction avec les connaissances classiques. Ainsi, 72 % des répondants indiquent avoir utilisé l'ingénierie sociale pour recueillir de l'information avant de lancer une attaque, et 86 % ont procédé à un scan de vulnérabilités pour trouver les faiblesses d'une cible. Les deux méthodes d'attaque les plus populaires apparaissent être le hameçonnage (40 %) et l'attaque directe sur serveur (43 %). Pour Chris Pogue, « il est important de comprendre comment l'adversaire pense et agit. Plus les défenseurs savent, mieux ils peuvent se préparer ».
L’étude montre également que les outils utilisés dans une attaque ne sont peut-être pas ce que les professionnels de la cybersécurité attendent, étant donné l'accent mis sur les kits d’exploitation : 60 % des répondants indiquent utiliser des outils open-source, contre 21 % pour des outils développés sur mesure. Et Chris Pogue de relever que seulement 10 % des intervenants indiquent utiliser des outils commerciaux. Une surprise pour lui, car « le fait d'être employé par une organisation signifie habituellement un budget pour acheter des outils. Mais selon l’étude, même si le budget est disponible, les solutions libres ou créées à façon sont favorisées ».
Jake Williams, fondateur et Pdg de Rendition Infosec, estime que ces résultats pourraient être induits par un biais d’échantillonnage, tous les répondants étant les participants d'une importante conférence sur le hacking : « beaucoup de gens n'admettent pas d'utiliser des kits d'exploits illégaux ; la grande majorité d'entre eux ne seraient pas adaptés aux engagements de clients commerciaux. À Defcon, je serais surpris de constater que beaucoup de gens admettent qu'ils utilisent Core Impact ou Cobalt Strike ».
De son côté, Hector X. Monsegur estime que la faible utilisation déclarée d'outils commerciaux et de kits d'exploitation (à peine 3% des répondants) pourrait être attribuable au fait que « ceux qui sont vendus sur le marché noir sont habituellement bogués, très spécifiques et comportent le plus souvent des portes dérobées ». Dès lors, les hackers expérimentés ne leur feraient pas confiance.
Et si les outils open source apparaissent si populaires, c’est pour lui parce que « certains des meilleurs outils de sécurité sont en fait open source et largement accessibles. Ces mêmes chercheurs en sécurité pourraient créer leurs propres kits d'exploitation, écrire des outils personnalisés, ou mettre en place des environnements similaires à Kali pour leurs engagements ».
Et quant à la perception selon laquelle les évaluateurs de sécurité utiliseraient plus d’outils commerciaux, elle serait due, pour Joseph Blankenship, « aux efforts de marketing des éditeurs et à une mauvaise compréhension du processus de test d’intrusion » : « les appels d’offre pour des tests de sécurité incluent souvent une liste d'outils à utiliser par les évaluateurs. Et dans la plupart des cas, on y trouve des logiciels disponibles dans le commerce, des outils open source et les outils développés par l’évaluateur. Les évaluateurs qualifiés utilisent une variété d'outils qui imitent ceux utilisés par les adversaires, combinant outils open source et outils développés à façon ».
Mesures défensives
L’étude met également en évidence une évolution régulière des méthodes d’attaque : la moitié des répondants ont indiqué qu'ils changent de tactique à chaque engagement. 56 % assurent d’ailleurs ne changer que pour continuer à apprendre.
Pour Jake Williams, il s’agit là de s’adapter aux « produits de sécurité qui évoluent pour couvrir les anciennes techniques » : « c'est une triste réalité, mais les contre-mesures de sécurité seront toujours contraintes de rattraper un retard perpétuel. C'est dans leur nom, c'est pour cela qu’on parle de contre-mesures. Mais pour les 56 % qui disent le faire juste pour apprendre de nouvelles techniques, il y a en fait plus que le seul désir de connaissance. Car s’ils ne continuent pas à apprendre de nouvelles techniques, ils se retrouvent coincés avec des techniques qui ne fonctionnent plus ».
Et pour Hector X. Monsegur changer de tactique apparaît en fait indispensable : « chaque engagement est différent. Différents périmètres, cibles et environnements. La plupart des chercheurs que je connais utilisent une méthodologie, et elle implique généralement un processus industrialisé pour tout engagement de test d’intrusion. Mais ils changent généralement de stratégie au fil de l’eau, à mesure qu’ils commencent à trouver de nouvelles vulnérabilités, configurations et logiciels ».
Pour Chris Pogue, ces résultats « indiquent que si vos contre-mesures défensives sont moins souples que les personnes qui essaient de les contourner, elles ont peu ou pas de chance d'être efficaces ». Car en fait, « vous serez protégé contre un modèle d'attaque qui n'est plus pertinent. Cela souligne l'importance d'intégrer des tests d’intrusion réalistes et axés sur les objectifs dans votre programme de sécurité ». Pour lui, « ce n'est qu'en évaluant et en améliorant en permanence vos contre-mesures de sécurité que vous pouvez suivre des stratégies d'attaque en constante évolution ».
Malheureusement, les résultats de l'enquête relatifs à l’efficacité des contre-mesures ne sont pas brillants. La protection des points de terminaison - postes de travail et serveurs - représenterait ainsi le défi le plus important lors d'un test d’intrusion (36 %), suivie des systèmes de détection et de prévention d’intrusion (IDS/IPS, 29%) et des pare-feu (10 %). Mais pour 22 % des sondés, aucune contre-mesure ne peut arrêter une attaque pour peu que le temps nécessaire à sa réussite soit disponible.
Mais ces résultats contredisent les suggestions des sondés quant au domaine le plus efficace pour investir en sécurité, ou l’IDS/IPS arrive en tête (37%), suivi du test d’intrusion (25 %) et l’hygiène de base ou la gouvernance de l'information (21 %).
Joseph Blankenship s’étonne ainsi que la protection des points de terminaison ne soit pas mentionnée parmi les contre-mesures efficaces alors même que 36 % des sondés assurent que c’est celle qui leur résiste le mieux. Mais pour lui, « dans l'ensemble, ces résultats montrent qu'avoir des contrôles à l'extrémité en plus d’une supervision robuste de la sécurité fournit une protection plus efficace, ce qui n'est pas du tout surprenant ».
Mais Jake Williams voit dans ces résultats une indication supplémentaire de biais d’échantillonnage : « les IDS/IPS sont de moins en moins efficaces avec l'utilisation omniprésente du ciffrement sur le réseau. Je suis vraiment surpris que plus de répondants ne recommandent pas d’investir plus sur la détection sur le point de terminaison, alors qu’ils indiquent qu’elle représente leur plus grand défi lors des tests d’intrusion ».
Hector X. Monsegur n’est en tout cas pas surpris par l'absence de consensus en termes de contre-mesures de sécurité « parce que, honnêtement, la sécurité, c’est difficile » : « si vous avez un environnement avec différents systèmes d'exploitation, appareils, utilisateurs, configurations, paramètres, des employés distants, des logiciels libres et des logiciels propriétaires, la surface d'attaque augmente à tel point qu'il n'y a pas de solution. Il n'y a pas de solution unique au problème de sécurité auquel la plupart des entreprises et des gens sont exposés ».
Une maturité encore limitée
Et c’est sans compter avec la maturité des défenseurs. Les hackers interrogés indiquent ainsi à 64% que leur plus grande frustration en tant qu'attaquant est que les défenseurs ne réparent pas ce qu'ils savent vulnérable ou inefficace. Pour les trois quarts des sondés, la réponse des organisations après un engagement se limite ainsi à « une certaine remédiation, généralement centrée sur les vulnérabilités critiques et élevées ». Et pour Chris Pogue, si cela « semble être une approche logique de la remédiation, cela déforme la vraie nature des vulnérabilités et fournit un faux sentiment de sécurité pour les décideurs ».
Ainsi, il explique que « si vous ne remédiez qu'à des vulnérabilités spécifiques que vous avez choisies arbitrairement et hors contexte, c'est l'équivalent en cybersécurité de prendre une aspirine pour une tumeur cérébrale; vous traitez un symptôme plutôt que sa cause ». Pire, pour lui, se contenter de corriger quelques vulnérabilités échoue à prendre en compte les erreurs stratégiques telles que des politiques de gestion de correctifs peu rigoureuses, voire absentes, le manque de programme de gestion des vulnérabilités, ou encore des équipes de sécurité mal formées. Et cette approche souffre aussi d’une méconnaissance de « la complexité des vecteurs d'attaque à étapes multiples ».
Reste que Joseph Blankenship voit dans ces chiffres « une évaluation juste de la réalité dans de nombreuses entreprises » : « trop d’organisations considèrent le test d’intrusion comme un exercice de conformité qui ne produit pas de résultats valables. D'autres peuvent recevoir les résultats d'une évaluation, voir la nécessité de changements, mais n'ont pas les ressources (temps, personnes, ou budget) pour les mettre en œuvre ».
Mais Jake Williams estime que l’écart entre les résultats de l’étude et la perception habituelle pourrait être du à la différence de perspective et au fait que, selon lui, les spécialistes du test d’intrusion n’ont pas toujours toutes les cartes en main : « ce qu’un spécialiste du test d’intrusion (ou ses outils) peut étiqueter comme critique peut ne pas l’être dans le contexte. Les organisations peuvent atténuer certaines vulnérabilités avec des défenses en profondeur, optant pour créer des protections stratifiées autour d'une vulnérabilité plutôt que de la corriger complètement ». Et puis aussi, « dans d'autres cas, les organisations ne corrigent pas les vulnérabilités parce que les testeurs ne parviennent pas à communiquer les risques de manière efficace. La communication et la rédaction de rapports efficaces sont des compétences clés des testeur qui sont généralement négligés par les entreprises de sécurité ».
D’ailleurs, pour Hector X. Monsegur, « la communication et l'éducation sont essentielles pour que les entreprises puissent résoudre leurs problèmes. Sinon, en envoyant des rapports et des informations à des entreprises qui sont noyées par le manque de temps, de budget ou de ressources humaines, vous finissez par obtenir le contraire de ce que vous vouliez faire. Il est important de discuter du problème de sécurité et de maintenir un flux de communication avec les bonnes personnes, espérant leur faire prendre conscience des enjeux, des risques ».