Guide Cyber-résilience - Opus 2 - Cyberattaques

L’APSSIS a le plaisir d’annoncer la deuxième publication d’une série de plusieurs Guides à destination des professionnels du secteur. Conçus et élaborés par Cédric Cartau, RSSI/DPO du CHU de Nantes et Vice-président de l’APSSIS, ces guides se veulent à la fois accessibles, techniques et pratiques. Ce deuxième opus traite d’un sujet d'actualité : les cyberattaques.

Le contexte mondial n’a jamais été aussi tendu au regard des cyber attaques. Même si le cas existe toujours, l’adolescent qui pirate le Pentagone depuis sa chambre mansardée a laissé depuis longtemps la place aux organisations plus ou moins mafieuses et aux groupes plus ou moins soutenus par des Etats plus ou moins voyous. Pour un certain nombre de cyber attaques qui ont pu être imputées à la Russie, le Président Russe s’est défendu en prétendant qu’il s’agissait de groupes internes incontrôlés. Cela ne veut pas dire que les occidentaux ne mènent pas ce genre d’opérations, simplement qu’ils sont dans la plupart des cas plus discrets - si l’on excepte le cas bien connu de l’attaque des centrifugeuses Iraniennes par le Mossad et la CIA .

Les malwares classiques existent depuis aussi longtemps que l’informatique elle-même, mais la préoccupation date des années 1990, avec les fameux virus type « I Love You », qui provoquaient l’écran bleu de la mort sur les systèmes Windows. Pendant des décennies, le domaine de la protection antivirale s’apparentait au jeu du gendarme et des voleurs, des missiles et des anti-missiles : c’était à celui qui stockait le maximum de signatures, à celui qui dépistait le plus vite les zéro-day, à celui qui savait mixer, dans le moteur de son antivirus (AV), à la fois de l’analyse par signature et de l’analyse comportementale.

La dernière grosse attaque virale dans le monde de la santé date des années 2008 et 2009 : il s’agissait d’un malware nommé Conficker (qui a sévi sous sa forme A, puis B puis C, chacune étant une mutation plus sophistiquée de la précédente) et dont l’effet essentiel était de provoquer des tempêtes de broadcast sur le LAN, mettant à genoux les équipements réseau. Pour échelle, la forme B arrivait à bloquer totalement le cœur de réseau d’une entreprise de plus de 5000 personnes avec seulement 100 PC infectés qui saturaient les liens, ce qui donne une idée de la virulence du malware.

Mais le seul effet de ce type de malware classique était de bloquer l’informatique : une fois l’ensemble du parc déverminé, patché et redémarré – ce qui pouvait prendre plusieurs semaines tout de même -, le fonctionnement du SI revenait à son mode nominal. En somme les malwares classiques correspondaient à une attaque en disponibilité (D) sur le triptyque DIC (Disponibilité, Intégrité et Confidentialité).

En 2015, est apparu le premier cryptolocker, forme spécifique de malware dont l’action consiste à chiffrer les données pour les rendre inintelligibles à celui qui ne possède pas la clé de déchiffrement. Les premiers cryptolockers étaient juste capables de chiffrer les données en local du poste de travail, ce qui est certainement plus grave pour un particulier (qui la plupart du temps stocke tout sur son C et fait peu de sauvegardes) que pour une entreprise (où les données sont stockées sur des partages, même si la dérive d’utilisation du C a toujours existé). Mais comme beaucoup l’avaient prévu, les générations suivantes ont été capables de chiffrer les données de tous les partages accessibles – et pas seulement ceux montés sur une lettre sur le poste de travail -, voire les DB accessibles, voire les systèmes plus sophistiqués telles les sauvegardes, les plateformes d’administration, etc.

Les attaques les plus sophistiquées sont aujourd’hui capables non seulement de chiffrer les partages de fichiers, mais aussi les plateformes de stockage des VM, des CITRIX ou TSE, les consoles d’administration, etc. En somme de bloquer tout le SI de façon durable, et d’en exfiltrer les données soit pour être capable de démontrer à la cible que l’attaquant dispose des données chiffrées et de la clé de chiffrement afin d’être plus crédible pour « vendre » cette clé de déchiffrement, soit pour faire du chantage à la publication de données sensibles sur Internet. En ce sens, ces attaques impactent non seulement le D, mais aussi le I et le C.

Avec les cryptolockers, on atteint un sommet – même à y réfléchir à deux fois on ne voit clairement pas ce qui pourrait être pire -, et les outils de protections classiques atteignent leur limite.

Retrouver le guide !

Partager ce document sur les réseaux

?>