Cybersécurité : Faire face aux dernières menaces

« Alertés par une consommation énergétique très élevée d’un fournisseur d’énergie, de nombreux policiers sont intervenus croyant à une ferme de culture du cannabis, il s’agissait en fait d’une chaîne illégale de cryptomineurs », cette anecdote rapportée par Fayçal Mouhieddine, responsable commercial de Cisco France, en dit long sur l’importance du cryptojacking aujourd’hui. Profitant du cours élevé des monnaies virtuelles, ce type d’attaque prolifère et dépasse même les ransomwares. Le cryptojacking a pour objectif de siphonner les ressources de calcul des machines (serveurs, PC, terminaux mobiles) à l’insu des victimes pour contribuer à la création de monnaie virtuelle et s’enrichir. Résultat : les systèmes sont fortement ralentis avec une usure prématurée des composants. Ces attaques ne doivent cependant pas nous faire oublier que les ransomwares, les APT et bien d’autres menaces sont en parallèle toujours très actives. Les fournisseurs encouragent les entreprises à se protéger sur plusieurs niveaux.

Cybercriminalité : des ransomwares au cryptojacking…

Après le fléau des ransomwares, les entreprises doivent faire face au cryptojacking qui s’est fortement démocratisé depuis le début de l’année 2018. « Nous assistons effectivement à un engouement sur les cryptomenaces, c’est moins visible que les ransomwares pour lesquels les entreprises ont pris certaines mesures. Là où les cybercriminels s’intéressaient aux vols de données pour gagner de l’argent, avec le cryptojacking, ils volent du temps de calcul pour créer toujours plus d’argent virtuel », explique Christophe Auberger, directeur technique de Fortinet France. Le cryptojacking ou malware par cryptominage consiste, en effet, à introduire un malware dans le système en toute transparence afin d’exploiter les ressources de la machine infectée (PC, serveur et tout type de terminal) pour créer de la cryptomonnaie. Un bon moyen pour les pirates de s’enrichir à moindre frais sans en informer la victime contrairement au ransomware. L’obfuscation, cette technique pour se dissimuler, a donc de beaux jours devant elle… Depuis le début de l’année, les malwares par cryptominage ont explosé selon le Vulnerability and Threat Trends Report de Skybox Security, ainsi au premier semestre 2018, ces malwares représentaient 32 % des attaques, contre 8 % pour les ransomwares. Pour information, au cours des six derniers mois de l’année dernière, la situation était inversée puisque les ransomwares constituaient 32 % des attaques, alors que les attaques de minage de cryptomonnaie n’affichaient, elles, que 7 %. Dès le début de l’année, certains spécialistes, comme Cisco avec son centre Talos, avaient alerté les utilisateurs d’une forte augmentation de ces menaces.
« Les attaques par cryptominage sont pernicieuses car le vecteur d’infection n’est pas visible, les experts mettent au minimum 5 mois pour les découvrir autant vous dire que cela génère des gains importants pour les pirates. En moyenne, c’est 500 € par mois pour créer du Monero (ndlr : cryptomonnaie concurrente du Bitcoin ou d’Ethereum dont le cours approche les 100 €) pour 2 000 machines infectées, cela représente beaucoup d’argent à l’année. Le ROI est donc plus rapide pour les pirates avec ce type d’attaque que le ransomware », indique Vincent Meysonnet, directeur technique de l’éditeur Bitdefender. Et d’ajouter : « La cible principale des pirates est le datacenter car il produit une grande puissance de calcul disponible pour exécuter les opérations de minage ». Pour les victimes de cryptojacking, les conséquences sont surtout visibles sur la consommation de leurs ressources avec un temps de réponse de leur machine plus long, une facture énergétique en hausse et des coûts de location plus importants pour les entreprises évoluant dans un environnement hybride.
Forte progression des cyberattaques sans fichier
En soi, les opérations de minage sont légales, il existe une multitude de logiciels pour les centaines de cryptomonnaies existantes sur le marché. Même Nvidia, le spécialiste des cartes graphiques, crée des gammes dédiées au minage. Mais des petits malins (organisés en réseaux de cybercriminels) détournent ces logiciels à leur profit ou exploitent des techniques encore plus redoutables pour introduire leurs malwares. « Peu importe la nature du malware, le pirate s’introduit désormais en ciblant la mémoire via PowerShell par exemple, ce que l’on appelle l’attaque sans fichier (ou fileless attack) », souligne Vincent Meysonnet. A ce titre, une récente étude réalisée par McAfee révèle que cette technique d’attaque a progressé de 432 % par rapport à 2017. Citons par exemple les malwares Kovter et CactusTorch qui exécutent un shellcode personnalisé sur les systèmes Windows…
Regain d’intérêt pour les APT
Si le cryptojacking fait une entrée en force, cela ne signifie pas pour autant que les autres menaces ont disparu. A en croire nos interlocuteurs, les APT (menaces avancées) sont toujours d’actualités, un regain d’activité a même été constaté par les fournisseurs. Pour Thomas Roccia, chercheur au sein de l’équipe du laboratoire McAfee Advanced Threat Research, un risque accru d’attaques Supplychain est à craindre. Un fournisseur, vecteur de confiance, pourrait facilement être aussi un vecteur d’infection. Souvenons-nous de l’attaque partie de la société ukrainienne M.E.Doc qui s’est rapidement propagée aux Etats-Unis et à l’Europe. De son côté, concernant les attaques, Fayçal Mouhieddine, responsable commercial de Cisco France, relève plusieurs tendances de propagation dont la potentielle vulnérabilité du trafic chiffré par un malware, la faiblesse sécuritaire des systèmes industriels, les sites de confiance qui hébergent des menaces cachées, la vulnérabilité des CPU et GPU, sans oublier les terminaux mobiles. De même, pour Laurent Pétroque, expert sécurité chez F5 Networks, un risque majeur existe sur l’IoT car chacun y va avec sa propre solution souvent sans prise en compte de la sécurité dès la conception de l’objet (security by design). De ce fait, il est extrêmement important de construire un réseau indépendant lié aux objets connectés. N’oublions pas que la cybercriminalité est aussi un business model peu importe les techniques…

Une réponse globale chez les éditeurs cybersécurité

Ransomwares, menaces APT, cryptojacking, phishing, zero-day, etc., les menaces sont protéiformes. Pour s’en protéger, les outils historiques dotés de moteurs traditionnels par signature ou périmétriques ne suffisent plus. Aujourd’hui, il est nécessaire de disposer de plusieurs couches de sécurité : contrôle des applications, accès web, messagerie, périphériques externes, etc., couplées à des solutions d’analyse comportementale, de forensic et de machine learning permettant de mieux connaître le type d’attaque en cumulant un maximum d’informations. Chez Fortinet, toute cette panoplie d’outils se retrouve dans la Security Fabric. « L’intérêt de la Security Fabric est de détecter les signaux faibles tout en fédérant l’ensemble des fonctions. Selon le Cesin, il n’est pas rare de trouver plus d’une dizaine de solutions dans certaines entreprises. Il est important pour le client de décomplexifier la sécurité et d’avoir cette vision globale », admet Christophe Auberger, directeur technique de Fortinet.
De son côté, Bitdefender répond à cette approche multicouche sur le réseau avec trois offres : Business Security, Advanced Security et Elite Security qui proposent en plus des fonctions de machine learning. A cela s’ajoute la gamme Ultra EDR (Endpoint Detect and Response), un outil pour cartographier les endpoints. McAfee propose aussi des applications pour fournir des réponses adéquates suivant les besoins des entreprises comme un plug-in qui se glisse dans le navigateur afin de blacklister certaines connexions invisibles. Les rachats successifs de l’éditeur (Skyhigh Networks et TunnelBear) lui ont permis de bénéficier de nouvelles compétences dans le VPN et le Cloud. « Nos laboratoires travaillent aussi sur des nouvelles techniques pour lutter contre les cryptomineurs, des travaux qui exploitent les ressources des systèmes, des journaux d’événements et de l’analyse comportementale », dévoile sans en détailler davantage Thomas Roccia, chercheur au sein de l’équipe du laboratoire McAfee Advanced Threat Research.
Cisco répond déjà à cette problématique avec son offre AMP. « Cisco AMP mesure les consommations anormales, toutefois, tout cela fonctionne s’il existe, en parallèle, une vraie connaissance des menaces et des scénarios d’attaques (Threat Intelligence). C’est le rôle de notre centre opérationnel (Talos) et de ses 300 experts qui visualisent quotidiennement 20 milliards de menaces », assure Alain Dubas, directeur commercial de Cisco pour l’Europe du Sud. Le catalogue sécurité de l’équipementier californien est d’ailleurs très vaste, de nombreux rachats ont été effectués dont le dernier en date, Duo Security, permettant de renforcer son offre de gestion des accès sécurisés et d’authentification. Quant à F5 Networks, sa stratégie s’oriente clairement vers la protection des environnements multicloud permettant d’effectuer des déploiements d’applications en toute sécurité. « Nous fournissons deux briques : sécurité et administration dans ces environnements multicloud et le client paie que ce qu’il consomme », résume Laurent Pétroque, expert sécurité chez F5 Networks, qui précise aussi l’importance de la gestion des identités et des accès.
La sensibilisation des salariés, une chose sans fin !
« La sensibilisation reste très importante, elle est parfois compliquée lorsque des attaques de type zero-day ou fileless se manifestent. Finalement, elle ne se termine jamais », constate Christophe Auberger, directeur technique de Fortinet. D’ailleurs, notre rédaction a pu le constater lors des différents IT Tour (https://www.it-tour.fr/), les DSI et les RSSI ne cessent d’alerter leurs collègues sur la nature des attaques et des règles à suivre via des emails, des réunions, des jeux et même des exercices grandeur nature comme l’a expérimenté le ministère de l’Economie début 2018. En effet, l’administration n’a pas hésité à procéder à une fausse campagne de phishing afin de sensibiliser ses propres employés à la sécurité. Résultat : sur 145 000 agents, plus de 30 000 ont cliqué sur le lien entre 10 h et 12 h, soit un taux de clic de 20 %. « Le social engineering, c’est une bonne idée mais ce qui marche vraiment dans les entreprises, c’est la communication en interne à tous les niveaux », pense, pour sa part, Thomas Roccia, chercheur au sein de l’équipe du laboratoire McAfee Advanced Threat Research. Pour Vincent Meysonnet, directeur technique de Bitdefender, la sensibilisation porte ses fruits sur le terrain surtout depuis la généralisation des ransomwares, l’attaque de Renault a marqué les esprits. « Nous avons même vu des groupes recruter des RSSI, il existe de nombreux postes ouverts aujourd’hui ». C’est notamment le cas de Pages Jaunes (Groupe Solocal) qui a recruté un RSSI il y a un an, ce dernier travaillant en tandem avec le DPO.

Témoignage Airbus CyberSecurity : Un centre de cyberdéfense de haut niveau souverain et européen

« Avec notre SOC, nos services, sans oublier les solutions de notre filiale Stormshield (ndlr : rachat d’Arkoon et de Netasq), Airbus CyberSecurity protège non seulement les activités d’Airbus Group, mais commercialise également ses solutions pour protéger les actifs d’un certain nombre d’organisations stratégiques publiques et privées dont TV5 Monde. Nous disposons d’un ADN européen et souverain (ndlr : conforme aux réglementations et certifications de l’ANSSI). Notre rôle est aussi d’être fédérateur au niveau européen en travaillant avec les laboratoires, les écoles…, d’avoir cette globalisation des innovations. Bien sûr, des échanges de données ont lieu avec d’autres centres dans le monde car la menace est mondiale », souligne Frédéric Julhes, directeur d’Airbus CyberSecurity en France (une filiale d’Airbus Defence and Space) qui a récemment inauguré un bureau à Rennes. A ce titre, le groupe va travailler en étroite collaboration avec le pôle d’excellence cyberdéfense, créé en 2014 sous l’impulsion du ministère de la Défense avec l’appui de la région Bretagne. Disposant de trois centres en Europe (France, Allemagne et Angleterre), Airbus CyberSecurity compte 700 experts dont 400 environ dans son centre français situé à Elancourt. L’objectif du centre est de détecter les signaux faibles, c’est d’autant plus important que le nombre et la surface d’attaques augmentent considérablement.
Selon Frédéric Julhes, les événements à surveiller ont été multipliés par dix en deux ans. Le SOC constitue un élément central de cette cybersurveillance mais l’offre d’Airbus CyberSecurity est bien plus vaste contre les cybermenaces. « Notre approche globale suit rigoureusement ces étapes : les formations et audits, la mise en place de la protection par des outils, la détection via l’analyse comportementale, le machine learning entre autres technologies et l’intervention où nous travaillons sur la scène du crime », résume en quelques mots Frédéric Julhes. Pour cela, Airbus CyberSecurity s’appuie sur sa R&D qui innove. Citons par exemple CyberRange d’Airbus CyberSecurity qui permet de reproduire le réseau d’une entreprise jusque dans les moindres détails avec des équipements IT ou industriels ou encore Orion qui analyse les malwares sophistiqués en s’aidant de l’analyse statique, du sandboxing et du machine learning. « Notre approche a été créée pour anticiper certaines menaces même si c’est impossible de tout anticiper. C’est un travail permanent, la plus grande difficulté est d’ailleurs de trouver des experts en cybersécurité. En juin 2017, une étude indiquait qu’il en manquait 1,8 million dans le monde. Pour combler nos besoins, nous avons signé avec six écoles dont l’ESIA, l’INSA…, nous leur fournissons la solution CyberRange qui participe à leur formation en simulant des attaques sophistiquées », conclut Frédéric Julhes.
Les intégrateurs également en ordre de marché sur la cybersécurité !
CGI, IBM, Atos, Infosys, Capgemini…, pour la majorité des grandes ESN et éditeurs, ils ont tous en commun de disposer d’une stratégie de cybersécurité évoluée incluant souvent un centre d’opérations de sécurité (SOC) ; quant aux intégrateurs, ils s’y mettent également à l’image de Hub One qui a acquis Sysdream en juin dernier (https://www.lemondeinformatique.fr/actualites/lire-hub-one-se-renforce-dans-la-cybersecurite-avec-sysdream-72129.html). « L’objectif de Hub One est de réaliser 1/3 de son chiffre d’affaires dans la cybersécurité soit 50 M€ contre moins de 10 aujourd’hui », assène Guillaume de Lavallade, directeur général de Hub One. Et d’ajouter : « Nous disposons déjà d’un premier niveau de SOC actif pour les ETI, notre but est aussi de cibler, à terme, les OIV (opérateur d’importance vitale) ». Avec ce rachat, Hub One va aussi bénéficier de l’expertise de Sysdream dans l’architecture d’audits pour identifier les failles et la formation.

Récemment arrivé à la direction générale de Hub One, Guillaume de Lavallade entend travailler avec les OIV dans le domaine de la cybersécurité.

Le groupe Avril sécurise ses accès avec Cisco Umbrella

Après avoir subi une série d’attaques de ransomwares qui a rendu les systèmes inaccessibles et nécessité l’intervention d’au moins 4 techniciens à plein temps pour résoudre le problème, le groupe français agricole et agroalimentaire Avril (7 200 employés, 80 sites en France et présence dans 21 pays) a pris la décision en 2017 de protéger tous les terminaux se connectant au réseau de l’entreprise incluant ceux des collaborateurs invités pour tous ses sites. En parallèle, le groupe avait souhaité simplifier la gestion de sa solution de proxy précédente trop compliquée à administrer avec une maintenance exigeant du temps et beaucoup d’efforts.
Après avoir testé et évalué plusieurs solutions, Avril a fait le choix de la solution Cisco Umbrella, le RSSI de l’époque avait déjà mis en avant la rapidité de configuration, seulement cinq minutes, et le blocage au niveau DNS a été instantanément efficace après la première démonstration. De plus, la configuration se faisant au niveau du réseau, les équipes IT ont pu paramétrer chaque poste de l’entreprise, sans y accéder physiquement. Avec Umbrella, ni faux positif ni d’attaques de ransomware ont été détectés.
Après cette démonstration, Avril a déconnecté l’application Umbrella, et là, le réseau a encore subi deux attaques de CryptoLocker. Le RSSI a donc définitivement franchi le pas avec Umbrella de Cisco. Depuis, le groupe n’enregistre plus d’attaques et la visibilité s’est améliorée, les politiques de sécurité sont appliquées uniformément sans intervention directe de l’équipe IT ni de formation pour les collaborateurs. A ce titre, le groupe a intégré l’Active Directory pour gagner encore en visibilité et en précision.
Cisco sécurise aussi les écoles Talis Business School avec Umbrella
Au sein de la Talis Business School, une école de commerce post Bac, la problématique était similaire en protégeant les accès à internet des étudiants sur les 8 sites de l’école sans oublier la mise en conformité avec l’obligation légale d’identification des utilisateurs. Là aussi, la direction IT a évalué et testé plusieurs solutions avant de choisir celle de Cisco Umbrella Cloud. Cette dernière sécurise donc les connexions internet des formateurs et des étudiants et bloque certains sites, notamment les flux Torrent. Depuis le déploiement d’Umbrella, l’école n’a pas subi d’attaques majeures (dont les très prolifiques ransomwares). La direction IT apprécie aussi les performances du cloud avec une haute disponibilité et aucune latence supplémentaire, Umbrella ne passant pas par un proxy à chaque connexion. Enfin, la direction dispose désormais de statistiques globales de trafic de manière simple pour contrôler la santé du réseau.

Source : LMI