Cyber attaques

Ransomware, Virus, Cybermenaces, Contre-mesures

Les cybers attaques sont difficiles à détecter et la remédiation est complexe. Ici nous allons expliquer ce que ces attaques représentent pour les entreprises victimes et qui souhaitent s’en protéger et présenter des exemples concrets d’attaques réalisées.

Les attaques ciblent majoritairement les grands groupes ou les gouvernements. L’objectif est de récupérer des moyens de pressions pour obtenir une influence ou directement de l’argent.

En revanche, les entreprises victimes sont avant tout les petites et moyennes entreprises. Leurs petites tailles impliquent qu’elles n’ont pas forcément les moyens ni les connaissances de se sécuriser et de détecter ces menaces.

Définitions

Les attaques prennent souvent les mêmes formes :

Demande de rançon pour la récupération de données cryptolockées.
Nuire à l’image en publiant vos données privées.
Récupération de données personnelles ou confidentielles pour les revendre.
Devenir l’intermédiaire pour accéder à des entreprises mieux protégées.

Pour réaliser ces formes d’attaques, plusieurs stratégies existent :

Attaque par force brut en essayant de récupérer le mot de passe souvent trop simple ou en utilisant une liste de mots de passes déjà récupéré
Exploitation des erreurs avec les logiciels obsolètes, des systèmes non surveillés ou des équipements d’administration mal sécurisés.
Utilisation de la naïveté avec des emails contaminés, des liens vers des sites dangereux, ou des applications trompeuses.
Vol ou abus de confiance en se connectant physiquement aux matériels informatiques avec une clé USB infectée ou une machine fantôme sur le réseau.

Contre ces stratégies, ils existent des contre-mesures possibles :

Sécuriser les identifiants avec une complexité minimum et activer l’authentification double facteurs.
Utiliser des antivirus pour vérifier les données de tous les appareils des collaborateurs.
Sécuriser les connexions avec des adresses mails, des serveurs et des locaux protégés.
Contrôler les accès avec un administrateur désigné et des pare-feu fermés.
Sauvegarder vos données pour pouvoir les retrouver plus tard en cas d’attaques.
Collecter les traces pour pouvoir identifier les origines d’attaques et alors réduire leurs portées.
Définir une stratégie de sécurité pour accélérer la détection et la réponse aux attaques.

Le principal problème de toutes ces contre-mesures est qu’elles coûtent chers à mettre en place. Pas seulement en matériels, ni en moyen dédiés pour sécuriser les données mais essentiellement une perte de temps énorme pour tous les collaborateurs de l’entreprises.

Exemples d’attaques

Service indisponible

C’est une attaque qui n’existe plus aujourd’hui dans sa forme originelle. Le DoS ou Deny of Service a évolué pour devenir DDoS ou Distributed Deny of Service : Déni de service distribué. Cette évolution par du même principe de base : inonder un site web pour qu’il ne puisse plus répondre car beaucoup trop de demandes.

La seule différence est que le DDoS est maintenant organisé depuis plusieurs sites d’attaques pour amplifier l’attaque drastiquement et rendre la remédiation complexe.

Mafiaboy
Attaque sur
Yahoo, Amazon
DELL, eBay et CNN

En 2000, une série d’attaques est réalisée contre les plus gros sites web commerciaux de l’époque de type dénis de services.

L’attaque consiste en l’utilisation d’un script et une configuration minimale pour identifier la faille technique chez l’autre. Ces attaques bloquent les sites en envoyant une quantité très importante de demandes. Ces demandes, doivent normalement attendre une réponse. Elles sont traitées sur le serveur qui fait des requêtes sur des bases de données et prépare la page à afficher pour ensuite l’envoyer au client.

https://fr.wikipedia.org/wiki/Michael_Calce

STUXNET
Sabotage d’usine
nucléaire Iraniennes

En 2002 est révélé aux grand public l’existence de sites d’enrichissements d’uranium dissimulés en Iran.

En 2005, après un arrêt de plusieurs années des sites suite à la pression exercée principalement par l'Union Européenne, les usines sont relancées malgré tout.

En 2009-2010 est alors détecté un virus informatique créé pour s’attaquer aux automates programmables industriels produits par Siemens.

Ce virus a été envoyé en utilisant des failles du système Windows. Il se reproduit en utilisant d’autres défauts de sécurités sur les machines. Il pénètre les protections des sites Iranien grâce à la connexion d’un ordinateur contaminé extérieur au réseau privé du complexe. Une fois en présence des logiciels de contrôle des automates Siemens, il les reprogramme pour modifier la vitesse des centrifugeuses d’enrichissement du site et alors rendre inutilisable les combustibles. Normalement les automates sont protégés par des mots de passes, cependant Siemens recommandait à l’époque de ne pas modifier ces mots de passes.

https://fr.wikipedia.org/wiki/Stuxnet

Guerre cyber

Entre les états, les conflits géopolitiques utilisent majoritairement les outils informatiques.

Tous les moyens possibles et imaginables seront utilisés par les états pour garantir leur sécurité et d’autant plus les Etat Unis. Avec leur Cybersecurity and Infrastructure Agency Act : A partir du moment ou une donnée informatique est stockée dans leur pays, ils peuvent y avoir accès.

La récupération d’informations de stockages privées ou de drive est alors tout à fait possible. Impossible de garantir sur des services américains la souveraineté de ses données. Elles ont peut-être déjà été scrutées par les services de sécurité...

Publication des données

C’est l’étape final de toute attaque avec demande de rançon. Personne ne souhaite voir ses discussions privées révélées au monde.

Souvent les attaques avec un Ransomware se déroulent de cette façon :

Intrusion en toute discrétion à l’intérieur d’une entité.
Extraction des données plus ou moins longue en fonction de la quantité de données.
Révélation en supprimant et bloquant certains postes ou serveurs.
Demande de rançon au travers d’une première petite somme pour inciter la victime à payer.
Demande de la rançon totale (souvent 10x la première) sous peine de publication des données sur des sites comme pastebin ou piratebay.

Aujourd’hui, cette façon de fonctionner est bien rodée et des entreprises en ont même fait leur business model.

Guardian of Peace
Demande de rançon
et publication de données
confidentielles de SONY
Pictures Entertainment

En 2014, les employés de Sony ont vu apparaître sur leurs ordinateurs une image de squelette accompagnée d’un message de chantage des pirates.

On ne connait pas très bien les détails de l’attaque. Les hackers parlent de 100 To de données (équivalent de 10000 films) mais cette information n’a jamais été confirmée. Les enquêteurs parlent d’au moins 2 mois de travail pour extraire tous les fichiers par les pirates avant de se faire connaitre.

D’après l’analyse du malware, il comprend un système de duplication pour se copier automatiquement sur les autres machines du réseau, des outils de créations de canaux de communications distants, un outil de destruction de disques et des outils de nettoyages pour effacer toutes traces de l’attaque.

https://fr.wikipedia.org/wiki/
Piratage_de_Sony_Pictures_Entertainment

COSY BEAR
Récupérations de
données confidentiels
et destructions

En 2017, le logiciel Orion de SolarWinds de gestion des systèmes d’information d’entreprises a été repéré lors de discussions entre hacker. Certains revendaient des accès à l’infrastructure de SolarWinds.

En 2019, une équipe de recherches spécialisées dans la cybersécurité a informé SolarWinds que leur système de stockage d’information de type FTP n’était pas sécurisé. Il précisait : Il est possible pour un hacker d’envoyer sur ce FTP un malware qui sera alors distribué à l’ensemble des clients de SolarWinds.

En 2020, une très grande quantité d’attaques est tombée sur une grande majorité des clients de SolarWinds.

Cette attaque était massive et très sophistiquée. On estime à 18000 institutions ou entreprises touchés dont les départements du commerce, du trésor, de l’intérieur, de l’énergie, de la défense, de la santé et des services sociaux des Etats-Unis.

https://fr.wikipedia.org/wiki/
Cyberattaque_de_2020_contre_les_%C3%89
tats-Unis

Extractions et destruction

Avec l’arrivée des années 2020, de nouveaux objectifs apparaissent et les attaques prennent un niveau industriel. Pour pouvoir contaminer des milliers d’entreprises et coordonnées ces genres d’attaques, plusieurs centaines de personnes ont été impliqué.

Ici le problème de SolarWinds est assez évident : un manque criant de la part de l’entreprise de sécurisation de ces informations. Mais SolarWinds n’a pas été le seul vecteurs d’entrée, Microsoft et VMWare ont également été utilisé malgré leur niveau de sécurité beaucoup plus élevé.

L’objectif final des attaquants est l’extraction de données confidentielles et récupérer des informations d’authentifications pour pouvoir les réutiliser et alors obtenir de nouveaux vecteurs d’attaques.

Contexte géopolitique

Internet hier était libre, et comme dans le monde réel, la liberté des uns s’arrête ou commence celles des autres. Les guerres n’existent plus entre les grandes puissances avec des fusils et des bombes, mais elles existent toujours dans le monde virtuel avec des virus, des attaques DDoS, de l’espionnage, du vol et des sabotages d’infrastructures industrielles.

La sécurisation des données est alors une question de protection raisonnée en séparant chaque niveau de sécurité des autres en fonction du contexte :

Mondiale : Peu importe la solution, les données qui sortent sont par définition visibles au moins par les gouvernements où se trouvent les serveurs de stockage. Les données à partager sur des serveurs internationaux doivent être uniquement les informations essentielles. Toutes sauvegardes sont à proscrire d’autant plus que la réplications des données sur plusieurs serveurs dans le monde, une technique d’accélération de l’accès à ces données, rends ces données visibles dans tous les pays où elles seront stockées.
Européenne : Grâces à l’Union Européenne, une certaines sécurité des données est normalement garantie. Cependant elle n’a pas le pouvoir d’imposer les mesures dans tous les pays, tout se passe par l’intermédiaires des états membres qui, eux, pour des raisons de sécurités ou d’intérêts nationaux peuvent néanmoins regarder ces informations.
National : C’est l’avant dernier niveau. En France, l’intérêt est de protéger ces entreprises et ces individus. Les données stockées sont sécurisées et garanties par l’état. Elles restent potentiellement visibles pour des raisons de défense national.
Interne : Le niveau ultime de protection est de stocker ses données chez soi. Mais le problème majeur ici est que cette solution requiert un niveau de connaissance très important dans le domaine de la cyber sécurité pour maintenir une solution comme celle-ci.

Les très grandes entreprises mettent en place tous les niveaux ci-dessus en fonction des données partagées. Les données stratégiques sont stockées en interne avec des sauvegardes dans des bunkers. Les données de travail gardées dans un réseau privée national. Les données partagées sont quand a elles mondiales mais une politique de sécurité filtre tout.

Malgré toutes les protections mises en place, les attaques restent innévitables. Avec CLOUD HARBOR, soyez assuré que toute attaque sera maitrisée.

En partenariat avec Marsh, n°1 mondial dans le courtage d’assurance, CLOUD HARBOR est un service dédié aux entreprises pour STOCKER, GARANTIR et ASSURER avec un haut niveau de protection.

Concentré de technologies innovantes dédiées à la lutte contre les cyberattaques, CLOUD HARBOR propose des tarifs abordables permettantaux TPE-PME de se doter du meilleur niveau de sécurité.