CyberSecMonth 2 Conformité

CyberSecMonth #2 La conformité ne suffit pas à vous protéger

Co-écrit par Quentin Bedeneau & Albert de Mereuil, sur une idée de Maxime de Jabrun.

« COMPLIANCE IS NOT SECURITY… BUT YOU SHALL COMPLY » commentait le numéro 2 du FBI au cyber security summit de New-York.

La société Equifax qui fait la une des journaux[1] était-elle en conformité avec les réglementations ? Là n’est pas la question. Elle a subit une attaque qui a mené à une fuite massives de données personnelles. Le scénario d’attaque n’a rien d’exceptionnel, une vulnérabilité récente a été exploitée pour obtenir un accès sur un serveur de production. Ce qui vaut aujourd’hui la démission du CEO et du CISO, est le délai de plusieurs mois avant l’application du patch correctif sur le serveur. Or il était déjà trop tard.

C’est avec les vielles vulnérabilités qu’on fait les meilleures attaques

Une procédure de mise à jour suivie et contrôlée aurait permis à Equifax d’éviter l’attaque. On pourrait envisager que cet incident soit rare, mais il aurait pu se produire dans d’autres entreprises, et le risque augmente pour celles qui ne sont pas dotées d’une politique de sécurité. Un attaquant aurait pu choisir une autre méthode que l’exploitation d’une vulnérabilité pour compromettre Equifax.

Un exemple marquant est celui du parti démocrate américain qui a vu une fuite de données majeures lui faire perdre les élections présidentielles. L’attaque était un phishing[2], un mail frauduleux avec un lien demandant la confirmation du mot de passe de l’utilisateur. Un utilisateur pas assez sensibilisé ou peu attentif a suivi les indications du mail permettant au pirate de récupérer des mails compromettants.

Que se passerait-il si le compte volé était celui d’un administrateur avec un mot de passe un peu trop faible ? Qui plus est, si une partie du SI était gérée dans le cloud ? La convergence des nouvelles technologies avec les anciens types d’attaques augmente considérablement les impacts, comme l’illustre le cas de la fuite de données du cabinet de conseil Deloitte[3].

La cybercriminalité, un écosystème en mutation

La monté en puissance des crypto-monnaies permet d’envisager pour les hackers une nouvelle source de revenu. Si à la place d’installer un programme disruptif comme un ransomware, un pirate faisait de sa victime une source continue de revenu, en installant un mineur de crypto-monnaies [4]? L’impact  de cette attaque se limite à une hausse de la consommation énergétique de la victime, mais fait partie des nouveaux scénarios à prendre en compte.

La mesure de sécurité visant à maintenir son parc informatique à jour le plus rapidement possible repose sur le concept de confiance dans l’éditeur. Ce sentiment a été abusé à plusieurs reprises par les pirates qui ont compromis des versions légitimes de logiciels en y installant des backdoors, comme la version 5.33.6162 de CCleaner [5] ou un ransomware couplé d’un worm (malware se propageant à travers le réseau) faisant plusieurs millions [6] de dommages dans le cas de Not Petya.

Le grand public n’est pas en manque de risques avec la prolifération des capteurs qu’on retrouve dans l’IoT et jusque dans sa poche avec le smartphone. Il est aujourd’hui beaucoup plus simple de localiser et de profiler un individu à partir de ses traces sur internet. GPS, metadata dans les images, analyse de SMS et des réseaux sociaux… toutes ces informations constituent une matière première idéale pour réaliser une attaque par phishing de qualité.

Dans cet environnement en mutation constante, où les mesures de sécurité basiques ne suffisent plus à prévenir des attaques informatiques, les experts en sécurité doivent être capables de maîtriser les scénarios de défenses historiques, tout en s’adaptant aux nouvelles attaques.

Retrouvez notre premier article rédigé à l’occasion du Mois européen de la cybersécurité 2017 ici : CyberSecMonth #1 Comprendre les enjeux de la conformité.

[1] http://www.lemonde.fr/pixels/article/2017/10/03/le-piratage-d-equifax-du-a-une-faille-informatique-non-corrigee_5195179_4408996.html

[2] http://www.lemonde.fr/pixels/article/2016/12/14/pirate-par-deux-groupes-differents-le-parti-democrate-americain-a-mis-des-mois-a-reagir_5048930_4408996.html

[3] https://www.theregister.co.uk/2017/09/26/deloitte_leak_github_and_google/

[4] https://homputersecurity.com/2016/11/03/attention-aux-malwares-mineurs-de-bitcoin/

[5] http://blog.talosintelligence.com/2017/09/avast-distributes-malware.html

[6] http://www.lemondeinformatique.fr/actualites/lire-le-ransomware-notpetya-a-coute-300-m$-a-fedex-69435.html