Home > Uncategorized > Les « Advanced Persistent Threat » (APT) : Une nouvelle génération d’attaque qui frappe fort!

Les « Advanced Persistent Threat » (APT) : Une nouvelle génération d’attaque qui frappe fort!

Récemment, la compagnie RSA, notamment connue pour ses jetons SecurID, ses faits « hacker ». En effet, le grand patron de RSA, Art Coviello, expliquait dans une lettre ouverte que la compagnie avait été victime d’une attaque de type « Advanced Persistent Threat » (APT). Toutefois, le niveau de détails des informations divulguées dans le communiqué concernant l’attaque resta vague

Suite à cette annonce, vous devinerez que la machine à rumeurs s’est enclenchée à pleine vapeur et que les blogues de sécurité se sont mis à regorger de « posts » à cet effet… Une des craintes principale reliée à cette attaque était que l’ensemble de tous les « seeds » des jetons SecurID ait été volé.

Selon certaines sources, l’intrusion ou l’extrusion, dépendamment comment on voit les choses, aurait été réussie à l’aide de courriels de type « Spear Phising » ou si vous préférer, d’hameçonnage ciblé. Cette attaque ciblait un groupe spécifique d’individus travaillant pour RSA. Ils auraient reçu un courriel ayant comme sujet «2011 Recruitment Plan». Ce dernier s’étant retrouvé dans le « spam folder », un des employés l’a ressorti pour l’ouvrir. Le courriel contenait un attachement qui était un document Excel ayant pour nom : « 2011 Recruitment plan.xls ». Hmmm Intéressant! Le chiffrier Excel contenait un zero-day exploit qui installait un backdoor sur le poste de la victime via une faille dans Flash de Adobe (CVE-2011-0609). Il est à noter que Adobe a maintenant corrigé la faille. Le backdoor en question était une variante de l’outil de gestion à distance Poison Ivy. Devinez ce qui arriva lors que l’employé en question cliqua sur l’attachement… Il n’en fallait pas plus pour donner aux pirates l’accès au réseau de RSA. L’autre portion du défi était de réussir à se faire un chemin jusqu’à la « voûte » contenant les seeds, ce qui semble avoir été réalisé avec succès! Il est a noté que les employés ciblés n’étaient pas ce qu’on appel des « High Value Target » (Cible de grande valeur), mais bien des employées plus bas dans la « chaine alimentaire » de RSA. Cela n’a toutefois pas empêché les attaquants de se frayer un chemin jusqu’à la caverne d’Alibaba!

Mais qu’est-ce qu’un « seed »?

Chaque jeton SecurID est provisionné avec un “seed” unique. Ce seed est en fait la clé qui, lorsque combinée à un algorithme développé par RSA, sert à générer le code unique (token code) qui change habituellement aux 60 secondes. Pour s’authentifier avec un jeton SecurID, il faut avoir 1) le nom d’utilisateur, 2) le NIP, 3) le token code.

Comme le nom d’utilisateur et le NIP peuvent être récupérés de différentes façons ( Key logger, fichier de mots de passe, Post It (Ouach!) etc…) la seule protection qui reste est le token code qui change toutes les 60 secondes et qui ne peut être réutilisé à l’intérieur de la même minute afin de contrer les « replay attacks ». Ce type d’attaque consiste à « sniffer » ou, si vous préférer, à intercepter une connexion contenant dans ce cas-ci : 1) le nom d’utilisateur, 2) le NIP, 3) le token code et à réutiliser le tout afin de se faire passer pour l’utilisateur légitime du jeton SecurID.

Or, le problème avec un vol de seeds, est que la personne qui les détient peut les importer dans un outil comme CAIN, qui est en mesure de calculer le token code d’un jeton à partir de son seed. Donc si quelqu’un vole les seeds et qu’il réussit à compromettre le poste d’une victime, il lui serait possible d’obtenir le username et le NIP de sa victime (tel que mentionné ci-haut) pour éventuellement atteindre un ou des systèmes (s) utilisant une authentification forte avec un jeton SecurID. En résumé, l’attaquant n’aurait pas besoin du jeton SecurID pour s’authentifier. Je tiens à préciser qu’il est également possible de voler les seeds directement sur le serveur RSA d’une entreprise. Alors si un attaquant réussit à compromettre votre serveur RSA (si vous en avez un), il pourrait éventuellement voler les seeds pour les utiliser contre vous par la suite. Cette attaque est donc possible que RSA se soit fait « hacker » ou non. Tout ceci est bien beau, mais jusqu’ici, il n’y rien de bien nouveau.

Advanced Persistent Threat (APT)

Si je prends une chance de traduire le terme « Advanced Persistent Threat » (APT) en français, cela donne quelque chose comme « Menace Persistente Avancée » (MPA). Mais qu’est-ce qu’une APT? En fait, l’attaque qu’à subit RSA (décrite ci-haut) en est un bon exemple. Il s’agit d’une combinaison de plusieurs éléments. Par exemple, un attaquant peut utiliser un technique de « Spear Phising » ou si vous préférer, d’hameçonnage ciblé ou encore d’harponnage (au sens figuré bien sur ;-). Cette technique consiste à envoyer un courriel à quelqu’un ou à un groupe ciblé (et non au hasard comme le fait le spam de masse). L’attaquant prend bien soin de s’assurer que le sujet du courriel sera d’intérêt pour sa victime. Dans mon cas, un bon exemple serait si quelqu’un m’envoyait un courriel avec le sujet « Bière gratuite !»… ;-) L’idée est de tenter de rendre le courriel suffisamment crédible et intéressant afin que le destinataire l’ouvre et le lise. Une fois le courriel ouvert, l’attaquant doit convaincre la victime de cliquer sur un lien ou sur un attachement ayant un contenu malicieux. Par exemple, ce contenu peut être un zero-day exploit (je ne sais pas pourquoi je pense à Adobe… ;-). Il peut s’agir d’un backdoor ayant été encodé de façon à ne pas être détecté par les antivirus. Ou encore, d’un lien pointant vers un javascript malicieux qui une fois exécuté par le fureteur sur le poste (via une attaque de XSS ou autre) permettra à l’attaquant d’exécuté du code arbitraire afin de prendre contrôle du poste àa distance, etc… Je crois que vous comprenez l’idée.

Un autre des éléments constituant une APT est qu’une fois qu’un poste est compromis, ce dernier sert de relai à l’attaquant afin de lui permettre de compromettre le reste du réseau. C’est en quelque sorte sa porte d’entrée sur le réseau de sa victime. Prenons par exemple le scénario du poste ayant été compromis par un backdoor via une attaque de spear phising. Dans ce cas, c’est le backdoor qui initie une connexion en sortie via un protocole habituellement permis comme HTTPS par exemple. Cette façon de faire permet de contourner plusieurs mécanismes de défense tels que les serveurs Proxy, les Coupe-feu ou les IDS. Une fois la connexion en sortie établie, l’atta vers le poste de l’attaquant, ce dernier à tout le loisir de contrôler à distance le poste de sa victime afin de tenter de se frayer un chemin sur le réseau à partir de l’intérieur même du réseau. Il est également possible qu’un attaquant « vive » pour une période prolongée sur le réseau de sa victime, de là le mot « persistant ».


L’humain

Selon vous, quel est le point faible dans tout cet étalage de technologies et d’attaques les plus sophistiquées les unes que les autres? L’humain, tout simplement. En fait, les chances de succès d’une attaque de type APT sont très minces si l’attaquant ne parvient pas à « exploiter » l’humain. Les entreprises auront beau investir des fortunes afin de se doter des meilleures technologies en sécurité, mais si les employés, l’humain, est laisser de côté lors de l’élaboration de la stratégie globale de sécurité, c’est perdu d’avance.

Nous ne sommes pas la NASA

J’entends trop souvent les fameuses phrases :

1) « Nous ne sommes pas la NASA… » ;
2) « Nous ne nous sommes jamais fait hacker »;
3) « Mais qui voudrait s’en prendre à nous? »

Si vous faites parti ce ceux qui pensez cela, laissez-moi vous posez quelques questions:

1) Si vous répondez que vous n’êtes pas la NASA lorsque vous propose d’améliorer votre sécurité, êtes-vous en train de dire qu’elle n’est pas « si importante » que cela? Que ça ne vous fera rien de faire la première page du journal suite à une brèche importante, de perdre votre crédibilité ou la confiance de vos clients? Alors si non, pourquoi avez-vous investi dans des solutions sécurité comme des antivirus, des coupe-feu, etc… ?

Si le bût était de vous protéger, l’attaque qu’à subit RSA qui contournait tous ces mécanismes de défense ne devrait-elle pas vous faire penser différemment? Après tout, la sensibilisation ne coûte pas si cher que ça et peut s’avérer très efficace.

2) Soyons sérieux et disons les vraies affaires. La question n’est pas de savoir « Si » nous nous sommes fait hacker, mais plutôt « quand » ou « combien de fois ». Si des compagnies importantes comme Microsoft, Google, RSA, Adobe, Juniper, DuPont, Walt Disney, Sony, Johnson & Johnson, General Electric, etc… possédant d’importants moyens de sécurité, se sont faire « hacker », je me demande sérieusement comment est-il possible pour quelqu’un d’affirmer avec certitude: « Nous ne nous sommes jamais fait hacker ». Ce n’est pas parce que nous ne savons pas que quelque chose s’est produit, que ce n’est jamais arrivé… Un vrai bon « hack » ne parrait pas et ne laisse pas de traces… Êtes-vous toujours aussi certain de ne jamais avoir été « hacké »?

3) À la question : « Mais qui voudrait s’en prendre à nous? », je répondrais : La terre entière! Il faut savoir que de nos jours, un des principaux vecteurs d’attaque est le Web. Qui ne surf pas sur Internet aujourd’hui? Or plusieurs sites Web distribuent du code malveillant à l’issue des internautes. Et je ne parle pas seulement des sites Web louches, mais également de sites légitimes connus ayant été compromis afin de rejoindre le plus grand nombre de victimes potentielles possibles. Juste à penser au site Web de Lenovo qui en octobre dernier distribuait un backdoor ou encore à d’autres sites légitimes qui distribuent du malware de différentes façons. Tout ce code malveillant peut être utiliser pour compromettre des postes au hasard. Il ne faut pas se limiter à penser que seuls vos « ennemis » ou vos compétiteurs tenterons de vous attaquer. Dites-vous qu’un « hack » ou qu’une attaque est comme la maladie et peut frapper sans discernement.

En conclusion

J’aimerais terminer en vous disant que l’humain doit maintenant faire partie de la stratégie globale de sécurité et qu’il faut cesser de faire l’autruche en se disant que tout est beau parce que nous avons investis dans des solutions xyz. Il n’y a rien de pire que d’avoir un faux sentiment de sécurité. Comprenez-moi bien, je ne dis pas que ce n’est pas bon, mais bien que maintenant, ce n’est plus suffisant.

– Michel

Bookmark and Share
  1. Alain Gilbert
    April 7th, 2011 at 22:45 | #1

    Excellent article. J’aime bien ta conclusion.
    Ce qui me fait grimacer, c’est qu’une firme de sécurité comme RSA, probablement avec une sécurité béton, se fait percer par un simple courrier.

  1. No trackbacks yet.

Powered by Netfirms