Hackers, l’analyse : épisode 3
co-écrit par Guillaume et Pierrick.
La Business Unit Risk & Security de HeadMind Partners vous propose un regard inédit sur le film « Hackers » : une fois par mois, découvrez notre critique de l’une des attaques du film. L’attaque a-t-elle déjà été perpétrée dans la réalité ? La présentation faite par le film est-elle vraisemblable ? Quelles sont les bonnes pratiques pour s’en protéger ?
Ce mois-ci dans l’épisode 3 : Le piratage d’un logiciel secret de la NSA rendu possible grâce au phishing !
Au cours des rebondissements de l’enquête, le film « Hackers » met en scène une attaque par phishing : la cible n’est pas moins qu’un agent de la NSA…
Comment l’attaque se déroule-t-elle dans « Hackers » ?
Le logiciel « Black Widow » est un logiciel secret utilisé par la NSA dans le cadre de ses activités. Il se trouve que ce logiciel joue un rôle crucial dans l’enquête de l’ex-pirate Hathaway, dans la mesure où il contient des informations permettant de comprendre le fonctionnement du RAT utilisé dans le piratage de la centrale nucléaire et d’identifier son auteur. La difficulté, bien évidemment, c’est que l’agent de la NSA interrogé dans le cadre de l’enquête ne souhaite pas livrer ses identifiants… Qu’à cela ne tienne, Hathaway va jouer les (spear)–phishers !
Hathaway construit donc un faux mail ressemblant trait pour trait à une demande officielle du chef d’équipe de la NSA. Le mail invite à modifier son mot de passe en cliquant sur un lien. L’agent… clique, ce qui le mène alors vers une page factice identique à celle qu’il aurait dû voir s’il s’était rendu sur l’interface légitime de changement des mots de passe. Cependant, derrière cette page se cache un enregistreur de frappe ou Keylogger. Tous les caractères saisis par la victime sur cette page sont enregistrés puis transmis à Hathaway. L’ancien mot de passe étant toujours demandé afin de saisir le nouveau, Hathaway peut donc le récupérer et le réutiliser pour entrer dans le logiciel « Black Widow ».
Et dans la réalité, ça donne quoi ?
Dans la réalité ce type d’attaque, appelée plus précisément « spear–phishing » ou« harponnage », est très courant. En effet, en 2014, 42% des attaques informatiques sur les systèmes industriels étaient des attaques par spear-phishing[1].
Le spear-phishing se distingue du phishing (« hameçonnage ») par le caractère ciblé de l’attaque : le phishing est basé sur l’envoi d’un message à un très grand nombre d’utilisateurs alors que le spear-phishing cible un nombre très limité d’utilisateurs, bien souvent un seul. Ce type d’attaque est largement épaulé par des techniques d’ingénierie sociale.
Le scénario est-il bien réaliste… ?!
L’attaque décrite dans ce film n’est pas un mythe et de très nombreuses entreprises en sont victimes. Cela a notamment été le cas de TV5 Monde en avril 2015. En effet à cette période, les comptes Twitter et Facebook, ainsi que le site de la chaine TV5 ont été piraté par des hackers se revendiquant membres de « l’Etat Islamique ». Cette attaque a nécessité plusieurs mois de préparation soutenue par des attaques de spear-phishing afin d’obtenir les identifiants de journalistes ayant les droits de publication. L’attaque trouve son origine dans un e-mail envoyé aux journalistes de la chaîne. Trois d’entre eux y ont répondu et cela a suffi aux pirates pour entrer dans le système et y préparer leur prochaine action[2].
Si ce type d’attaque est donc tout à fait vraisemblable, sa mise en scène dans le film comporte toutefois plusieurs paramètres peu crédibles:
- La vigilance du membre de la NSA laisse clairement à désirer pour une institution gouvernementale: il vient juste de refuser de donner ses accès et ne s’alarme pas de recevoir quelques minutes plus tard un mail lui demandant de modifier son mot de passe…
- Les systèmes de protection de la NSA auraient pu identifier ce message comme étant frauduleux.
- Le logiciel « Black Widow » est classé « top secret » … mais Hathaway arrive à l’utiliser par internet depuis chez lui ! Les systèmes critiques qui plus est classés « top secret » ne sont absolument pas accessibles depuis un réseau public.
- Enfin la vitesse d’exécution de l’attaque : celle-ci s’effectue en quelques minutes alors que le principe de cette approche est plutôt une approche sur le long terme afin de ne pas être détecté et de prendre place dans le système.
Et…comment s’en protège-t-on ?
Il existe plusieurs bonnes pratiques qui permettent de se protéger contre ce type d’attaque :
- Adopter une vigilance accrue avant de cliquer sur un lien contenu dans un mail ou d’ouvrir une pièce jointe.
- Vérifier la provenance des mails que l’on reçoit ainsi que la cohérence entre l’URL contenue dans le mail et le site que l’on visite.
- Utiliser plusieurs mots de passe différents et éviter les mots de passes triviaux comme les dates de naissance ou les prénoms et noms ; changer régulièrement ses mots de passe.
- Disposer d’un antivirus à jour.
- Les entreprises doivent sensibiliser activement leurs collaborateurs aux concepts de base de la sécurité et aux risques d’ingénierie sociale. L’efficacité des campagnes de sensibilisation doit être testée, par exemple via de fausses campagnes de phishing« grandeur nature ».
[1] source : ICS-CERT Advanced persistent threats 2014: https://ics-cert.us-cert.gov/sites/default/files/Monitors/ICS-CERT_Monitor_Sep2014-Feb2015.pdf
[2] Nous avons consacré un article à ce sujet:
Derniers articles
- Réseaux sociaux et connaissance client
- Analyse des solutions de sécurité réseau et leur complémentarité
- Bonnes pratiques de sécurité des voyages
- ISO 27001 et ISO 27002, une nouvelle version majeure pour des changements majeurs
- DEEPFAKE : Le nouveau casse-tête des méthodes d’authentification
