lassedesignen - Fotolia

Fox-IT fait le bilan de l’attaque dont il a été victime

Le portail client de spécialiste du renseignement sur les menaces a été la cible d’une attaque en interception conduite à partir du détournement de ses enregistrements DNS. Son récit s’avère riche d’enseignements.

Par construction, les spécialistes du renseignement sur les menaces sont détenteurs d’informations potentiellement précieuses… pour les pirates. En mettant la main sur les renseignements rassemblés à l’encontre, ils peuvent savoir jusqu’où ils ont été démasqués, de même que leurs outils, leurs méthodes et leurs tactiques. De quoi s’adapter, si nécessaire, pour rétablir leur furtivité.

Dès lors, les spécialistes du renseignement sur les menaces – la fameuse Threat Intelligence – savent mieux que quiconque que la question n’est pas de savoir si une brèche aura lieu, mais quand. Et dans le cas de Fox-IT, le « quand », c’était le 19 septembre dernier, comme l’entreprise le raconte dans un billet de blog.

Tout a commencé très tôt dans la nuit, ce jour-là : les enregistrements DNS de fox-it.com ont été modifiés pour renvoyer vers un nouvel hébergeur. Moins de deux heures plus tard, le sous-domaine correspondant au portail client de l’entreprise cessait de pointer vers son hôte légitime. Dans la foulée, les attaquants ont créé un nouveau certificat SSL pour le portail client afin d’induire ses visiteurs en erreur.

Il n’aura fallu à Fox-IT que 5 heures pour découvrir la malversation, corriger les enregistrements DNS de son domaine, et modifier le mot de passe associé à son compte, auprès de son registrar. Mais compte tenu des délais de propagation, des clients sont susceptibles d’avoir été piégés encore quelques heures durant.

Une approche astucieuse pour gagner du temps

Mais pas question, pour Fox-IT, de dévoiler aux attaquants qu’ils avaient été découverts : l’entreprise n’a pas désactivé son portail client. A la place, elle en a désactivé l’authentification à double facteur, empêchant temporairement quiconque de s’y connecter avec succès.

Le spécialiste du renseignement sur les menaces indique avoir mis à profit ses propres sondes réseau, configurées pour capturer tout le trafic, dans son intégralité, afin d’étudier l’étendue de la brèche. Dès lors, il assure que seulement neuf personnes se sont connectées pendant la période durant laquelle les attaquants étaient en mesure d’intercepter le trafic ; leurs identifiants ont été compromis, mais tous ont été contactés.

Selon Fox-IT, douze fichiers, dont dix uniques et trois confidentiels, ont été dérobés. Mais l’entreprise explique ne pas mettre à disposition ses documents les plus sensibles via son portail client : aucun de ceux-ci n’a donc été concerné.

Quelques données personnelles de clients ont également été dérobées : un numéro de téléphone mobile ; des noms et des adresses e-mail. Toutes les personnes concernées ont été informées. Des noms d’entreprises – clients, fournisseurs, partenaires – ont également été collectés par les attaquants. Fox-IT n’en détaille pas le nombre.

L’authentification multi-facteurs pour les registrars ?

Mais il y a un point sur lequel l’entreprise ne dispose d’aucune information : les courriels qui lui ont été adressés, dans un laps de temps de 10 minutes « maximum » - « la distribution d’e-mail est distribuée sur Internet ; nous n’avons aucun moyen de déterminer quels e-mails ont été interceptés par l’attaquant durant ce temps ».

A ce stade, le récit laisse quelques zones d’ombre, dont Fox-IT apparaît bien conscient. Et cela commence par le détournement initial des enregistrements DNS de son nom de domaine : le mot de passe de l’identifiant pourrait avoir été obtenu par la compromission de l’infrastructure d’un tiers ; bien que conçu pour être robuste, il n’avait pas été changé depuis 4 ans. Et le registrar concerné ne supporte pas l’authentification à facteurs multiples. A la lumière de l’incident, Fox-IT estime que cela devrait être une « pratique standard ». Et d’interroger : « votre registrar supporte-t-il 2FA ? La réponse risque de vous surprendre ». A noter, en France, au moins Gandi et OVH supportent l’authentification à double facteur.

Des pistes d’amélioration

Fort de cette expérience, Fox-IT formule plusieurs recommandations, mais fait également l’analyse de la manière dont il aurait pu encore mieux réagir, voire anticiper.

Et cela commence par la gestion des signes avant-coureurs. Dans les jours précédents l’attaque, ses équipes ont bien détecté des opérations de recherche de vulnérabilités dans ses systèmes exposés en ligne. Mais pour elles, ce n’était que « le bruit de fond normal d’Internet », comme il peut être tentant de l’appréhender. Avec le recul, toutefois, Fox-IT estime que ces signes auraient pu éveiller son attention : « nous avons désormais établi des mécanismes pour améliorer les alertes avancées d’activités suspectes de cette nature ». 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)