Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ?

Expertise :

 

                     Loïc Guézo Trend Micro CyberSecurity Strategist, CISSP #80376, LA 27001

 

"Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ?"

 

RTR2UW79

 

 


Cyberdefense :  attaquer avec les outils de l'adversaire, c'est une des définitions de la LIO (Lutte informatique offensive) ?

La LIO  c'est surtout aujourd'hui l'exploitation de vulnérabilités chez l'adversaire ; on s'approche immédiatement de la dualité de ses sujets. Rechercher et connaître des vulnérabilités 0-Days : pour s'en protéger ou pour les exploiter ? Les industriels de confiance se retrouvent sur un point : l'utilisation duale de ces connaissance peut se faire selon deux modes, ce que l'on  rapproche du double usage (1) -qui peuvent être employées aussi bien à des fins militaires que civiles, donc dis autrement mode défense et mode attaque. Ces cyber-attaques se font via des outils qui exploitent des vulnérabilités généralement pas encore connues des éditeurs. Certains acteurs tels que des profils comme l'ex-VUPEN commercialisent des « 0day » aux plus offrants dont la NSA et d'autres services après les avoir « achetées » à des « indépendants »… C'est la loi du plus offrant, le far-west ou la loi de la jungle ?

 

Comment un tel business peut exister au regard de la législation ?

L'arrangement de Wassenaar (2)  apporte des garanties dans l'encadrement e commerce des zero day. La question est s'achemine t-on vers une déréglementation des ventes et reventes de cyber-armes ? Ou au contraire vers une pénalisation de la R&D sur ces sujets…A mettre en regard des derniers accords signés entre la Chine et les US en septembre dernier ; ce qui montre le niveau stratégique des discussions auquel nous sommes confrontés. 

 

A t-on une idée de l'état des réserves en cyber-armes des grandes puissances ?

Les réserves de « stuxnet-bis » existent au sein des pays puissants habituels mais aussi au sein de groupes privés de type cyber mercenaires. Et là c'est plus inquiétant à mon sens C'est tout le problème de l'univers numérique :   une vulnérabilité peut-être découverte et / ou exploitée par un homme isolé. Il faut donc s'attendre à des augmentations de risques liés à des actes de cyber terrorisme, parfait exemple du caractère asymétrique persistant (peu de moyen pour de gros effets) alors que les grands pays sont en même temps dans une course à l'armement et à la multiplication des moyens disponibles...

 

Propos recueillis par Jean Philippe Bichard

Lire aussi: http://cyberisques.com/fr/content12

 

A noter: 

 

Cyber warfare is a natural arena for al Qaeda. It allows a small number of covert and dispersed individuals to inflict disproportionate damage on a much stronger adversary. Cyber warriors generally hail from the class of disaffected, educated, relatively-well-off radicals from whom al Qaeda draws its leadership cadres. Al Qaeda should have an advanced cyber-warfare capability to hurt the West and help recruit new followers, but it does not. The only hacking collective claiming affiliation with the group is al Qaeda Electronic (AQE), which was formed only this year and has shown limited and rudimentary capabilities. Al Qaeda does not seem to pose a significant cyber threat to the U.S. or its allies at this time. Al Qaeda’s relative impotence in the cyber realm likely reflects the experiences of its leaders and the group’s history. Ayman al Zawahiri, its current leader, and his lieutenants have spent most of the past 25 years operating covertly and trying to evade the prying electronic eyes of Western intelligence agencies. They have seen information technology as a way to communicate securely to a small group of trusted leaders, which is why they still rely heavily ...

                                               Intégralité de l'article réservée à nos abonnés                                   

 

 

 

BONUS :

1 - Qu’est-ce qu’un « bien à double usage » ?

Définition (article 2 du règlement (CE) n° 428/2009 modifié) On entend par biens à double usage, « les produits, y compris les logiciels et les technologies (y compris la transmission de logiciels ou de technologies, par voie électronique, par télécopieur ou par téléphone vers une destination située en dehors de la Communauté) susceptibles d’avoir une utilisation tant civile que militaire ». Ils sont repris dans une liste annexée au règlement communautaire qui définit le cadre juridique applicable en la matière (cf. point n°3 « fondements juridiques », ci-dessous). Ce sont des biens sensibles qui, dans la plupart des cas, sont destinés à des applications civiles, mais qui peuvent être utilisés à des fins militaires ou qui pourraient sensiblement renforcer les capacités militaires des pays qui les acquièrent. Quelques exemples permettent de comprendre la différence entre un bien à double usage et une arme : il peut s’agir d’un ordinateur, un logiciel d’une certaine capacité, un composant électronique ou mécanique, un virus qui existe à l’état naturel (Ebola), un produit chimique vendu en grande quantité industrielle, une machine outil ou encore un équipement pour une usine nucléaire.

 

2 - L’Arrangement de Wassenaar : n arrangement multilatéral global pour le contrôle des exportations d’armements conventionnels et de biens et technologies à double usage servant à leur fabrication.

Il a été conclu en juillet 1996 par 33 Etats et tire son nom de la localité de Wassenaar, aux Pays-Bas. Il regroupe aujourd’hui 41 Etats. L’Arrangement de Wassenaar vise avant tout à promouvoir "la transparence et une plus grande responsabilité dans les transferts d’armes et de biens à double usage afin de prévenir les accumulations déstabilisantes". Il complète et renforce les régimes existants de non-prolifération des armes de destruction massive. Les Etats parties à l’Arrangement doivents’assurer que les transferts d’armes et de biens et technologies à double usage conventionnels qu’ils effectuent ne contribuent pas au développement ou au renforcement de capacités militaires pouvant nuire à la sécurité et à la stabilité régionales et internationales.

Un forum politique et technique

La nature juridiquement informelle de l’Arrangement de Wassenaar repose sur un engagement politique exprimé dans des éléments initiaux et des textes ou déclarations complémentaires adoptés à l’unanimité par les Etats participants. Toutes les décisions au sein de l’Arrangement de Wassenaar sont prises par consensus.

Sur le plan politique, les Etats se sont engagés à :

  • suivre les "directives", "éléments" et "meilleures pratiques" adoptés par l’Arrangement de Wassenaar ;contrôler en vertu de leur législation nationale les exportations de biens figurant sur la liste militaire et la liste des biens à double usage de l’Arrangement ;

  • rendre compte, par souci de transparence, des transferts d’armements conventionnels et de biens à double usage jugés très sensibles, ainsi que des refus de transfert de biens à double usage en général ;

  • échanger des renseignements sur les exportations de biens et de technologies à double usage très sensibles. Le secrétariat permanent de l’Arrangement de Wassenaar est situé à Vienne et comporte une douzaine de personnes. L’assemblée plénière se réunit une fois par an et ses organes subalternes se réunissent plus régulièrement.

En fonction de l’évolution des technologies, le groupe d’experts met à jour chaque année les listes de contrôle. La liste militaire de l’Arrangement de Wassenaar est notamment reprise dans la liste militaire commune européenne des équipements militaires et la liste des biens à double usage est transposée dans le règlement communautaire sur le contrôle des exportations de biens et technologies à double usage (Règlement (CE) 428/2009 modifié par les règlements n°1232/2011 du Parlement européen et du Conseil du 16 novembre 2011, n°388/2012 du Parlement européen et du Conseil du 19 avril 2012 et n° 599/2014 du Parlement européen et du Conseil du 16 avril 2014). Le contrôle à l’exportation demeure de la souveraineté de chaque Etat participant.

BONUS: 

https://www.linkedin.com/pulse/cyber-arms-race-consequences-jarno-limn%C3%A9ll?trk=hp-feed-article-title-like

 

Comment un cybercriminel peut infiltrer votre réseau

par Christophe Auberger, Directeur Technique France, Fortinet

La sécurité est plus que jamais une priorité pour les entreprises, contribuant activement à sa réussite. Les RSSI doivent désormais s'assurer que leurs projets en matière de sécurité IT sont en phase avec les objectifs de l'entreprise.

Nous sommes tous connectés à Internet, ce qui est très positif. Mais ce lien permanent implique que nous sommes tous au cœur d'un écosystème de grande envergure. Il est essentiel de comprendre que tout ce qui touche une organisation impactera également de nombreuses autres entreprises, et notamment ses partenaires. Ainsi, en cas de piratage d'une entreprise, ce sont des données personnelles identifiables qui sont détournées. Ces données peuvent être revendues à des spécialistes de l'usurpation d'identité ou constituer un terreau favorable aux attaques de phishing. Plus l'assaillant disposera d'informations sur vous, plus l'email qu'il vous enverra apparaîtra comme légitime et vous incitera à cliquer sur un lien malveillant.

Notons que les tactiques d'attaques actuelles sont similaires à celles d'il y a quelques années : récupération de mots de passe faibles, attaques de type phishing et téléchargement de logiciels malveillants à partir de sites web infectés ou de publicités malveillantes. Sauf qu'aujourd'hui, l'assaillant a gagné en furtivité et en efficacité lorsqu'il mène son attaque.

Penchons-nous, par exemple, sur les réseaux sociaux et les services en ligne. Nous sommes très nombreux à les utiliser, qu'il s'agisse de Facebook, de LinkedIn, ou encore des sites de rencontres en ligne. Les assaillants l'ont parfaitement compris et capitalisent sur la fibre émotionnelle de chacun. Ils établissent ainsi leur passerelle d'entrée vers les dispositifs des utilisateurs en s'aidant de ces sites et de techniques d'ingénierie sociale. Ainsi, si les méthodes d'ingénierie sociale restent les mêmes, les vecteurs et la surface d'attaque ont, en revanche, progressé. Parallèlement, ce sont les techniques de furtivité qui ont gagné en précision, avec des assaillants toujours plus aptes à se dissimuler. Se contenter d'utiliser les antivirus traditionnels n'est donc tout simplement plus suffisant.

Parmi les techniques utilisées, l'attaque de type phishing est la méthode principale pour s'immiscer au sein des réseaux d'entreprise.  

Un email de phishing, conçu pour paraître le plus légitime possible, est envoyé avec un fichier joint ou une URL malveillante, et incitant l'utilisateur à ouvrir le fichier ou à cliquer sur l'URL. L'attaque par téléchargement furtif (ou drive–by attack) est une autre technique utilisée par les assaillants. Ces derniers piratent un site Web et y installent un script java malveillant qui redirigera l'utilisateur vers un autre site hébergeant un logiciel malveillant téléchargé en arrière-plan vers l'équipement de l'utilisateur. Dans le cas d'une attaque ciblée, les assaillants peuvent passer des mois à identifier les sites Web les plus consultées par les organisations ciblées, pour ensuite les infecter.

Le malvertising (publicité malveillante) compte également parmi les techniques utilisées. Cette attaque emprunte les codes des attaques drive-by, mais l'assaillant se focalisera sur l'infection des sites de publicités. Il devient possible d'infecter un seul de ces sites qui, à son tour, pourra infecter jusqu'à 1 000 autres sites Web. Ou l'art d'industrialiser son attaque.

Enfin, n'oublions pas l'attaque mobile. Nombre de ces attaques sont similaires à celles mentionnées plus haut, mais elles ciblent les dispositifs mobiles. Notons qu'il est possible d'infecter un dispositif mobile via un message SMS, ou à l'aide d'un logiciel malveillant qui se présente en tant qu'application ludique ou de contenu pour adultes.

Lorsque l'assaillant est rentré dans un réseau et qu'il réside sur le dispositif d'un utilisateur (ordinateur de bureau ou portable, équipement mobile), il doit désormais injecter de nouveaux logiciels malveillants et outils pour mener à bien sa mission. Généralement, les informations de valeur ne sont pas stockées sur les postes de travail, mais plutôt sur les serveurs et des bases de données. Voici donc un aperçu des étapes supplémentaires pouvant être mises en œuvre par un cybercriminel déjà présent dans le réseau:

  1.             Téléchargement d'autres outils et logiciels malveillants pour compromettre davantage le réseau.
  2. Exploration du réseau pour identifier les serveurs hébergeant les données ciblées. Recherche du serveur Active Directory contenant tous les identifiants d'authentification, dans l'objectif de pirater ces données, véritable sésame pour le cybercriminel.
  3. Une fois les données ciblées identifiées, recherche d'un serveur provisoire pour y copier ces données. Le serveur idéal est un serveur stable, à savoir toujours disponible, et disposant d'un accès sortant vers Internet.
  1. 4.    Exfiltration furtive et lente de ces données vers les serveurs des assaillants, généralement déployés dans le cloud, ce qui rend la neutralisation des communications plus complexe.

Les cybercriminels présents au sein du réseau sur une longue durée pourront obtenir tous types d'informations disponibles puisque les données d'entreprise, dans leur grande majorité, sont archivées sous format électronique. Plus le cybercriminel est présent sur le réseau, plus il en apprend sur les processus et les flux de données de votre entreprise. L'attaque Carbanak qui a ciblé de nombreuses banques dans le monde en est la parfaite illustration. Lors de cette exaction, les cybercriminels sont remontés jusqu'aux ordinateurs des administrateurs ayant accès aux caméras de vidéosurveillance. Ils ont ainsi pu surveiller de près le fonctionnement du personnel bancaire et enregistrer tous les processus dans le détail. Ces processus ont été reproduits par les cybercriminels pour transférer des fonds vers leurs propres systèmes.

Comme déjà souligné, une brèche dans le réseau s'initie généralement par un simple clic d'un utilisateur sur un lien malveillant. Après avoir investi le poste de l'utilisateur piraté, l'assaillant commence à explorer le réseau et à identifier les données qu'il souhaite détourner. C'est dans ce contexte que la notion de segmentation de réseau devient essentielle. Cette segmentation permet de maîtriser l'impact d'un piratage puisque l'entreprise victime peut  isoler la faille et éviter tout impact sur le reste du réseau. D'autre part, elle permet de cloisonner les données sensibles au sein d'une zone hyper-sécurisée qui rendra la tâche bien plus complexe pour ceux qui souhaitent les exfiltrer. Pour conclure, gardons à l'esprit qu'il est impossible de protéger et de surveiller le réseau dans sa totalité, compte tenu de son périmètre étendu et de sa complexité. Il s'agit donc d'identifier les données les plus sensibles, de les isoler et de porter son attention sur les chemins d'accès vers ces données.  

Intégralité de l'article réservée à nos abonnés: 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires