Communiqué de Presse: Attaques « low-tech »: Infrastructures Critiques mal Sécurisées – Les Attaques contre Colonial Pipeline reposaient sur des outils d’accès standard
En mai, l’entreprise américaine Colonial Pipeline a été victime d’une attaque par ransomware. Après de tels événements, il y a toujours une demande en sécurité accrue et en nouvelles mesures. Pourtant, l’analyse de ces attaques révèle souvent des lacunes dans la sécurité de base. Il n’est souvent pas nécessaire d’utiliser des outils compliqués et sophistiqués pour cibler des infrastructures critiques. Les attaquants aiment utiliser des outils standards, disponibles partout, pour éviter d’être détectés. Ceci est rendu possible par une sécurité de base insuffisante.
Un camouflage adapté
Pour défendre ses propres systèmes et réseaux, il est nécessaire de connaître en profondeur les particularités de son infrastructure. Les groupes organisés qui ciblent les entreprises recherchent exactement ce qu’utilise la cible avant d’attaquer. Suite à cette phase de planification, ils utilisent seulement des outils que la victime trouvera plausibles et qui n’éveilleront donc pas le soupçon. Cette approche fonctionne si bien que les attaquants ont packagé le tout en un processus qu’ils proposent commercialement comme un service (RaaS, Ransomware as a Service). La leçon à tirer de ce comportement est qu’il est indispensable d’acquérir les connaissances nécessaires à la manipulation et l’exploitation de son propre système. Tous les fabricants fournissent des instructions pour l’utilisation sûre de leurs produits. Il existe également des exemples de configurations et de meilleures pratiques pour faciliter la mise en place de ses propres implémentations. Dans ce processus, il est essentiel de connaître les limites des produits utilisés, car certains systèmes et protocoles présentent des faiblesses de conception inhérentes.
On ne parvient à déceler le subterfuge qu’en connaissant ses propres faiblesses. Pour ce faire, il est impératif de surveiller régulièrement et automatiquement son propre réseau. Il n’est pas nécessaire de faire appel à de nouvelles technologies et mesures si vos propres ressources sont laissées en friche et non exploitées. La détection d’anomalies dans les réseaux et les systèmes informatiques est un sujet de recherche en informatique depuis des décennies. Il existe des algorithmes et des solutions pour pallier à ce problème.
Le manque de connaissances, une faille dans la sécurité
La sécurité de l’information repose sur la séparation des secteurs, l’attribution d’autorisations minimales et la protection des données stockées et transportées. Cette fondation est très facile à mettre en œuvre. Toutefois, les rapports d’incidents de sécurité révèlent souvent des lacunes dans la réalisation. Il y a plusieurs raisons à cela. Il peut s’agir de structures historiques, d’incompatibilités de logiciels, d’une mauvaise utilisation des budgets ou d’un manque de connaissances sur les capacités et les faiblesses de ses propres systèmes. C’est précisément ce manque de connaissances qui peut être comblé afin d’améliorer sa propre défense à long terme. Lors des contrôles de sécurité, les chercheurs en sécurité trouvent régulièrement des points de départ qui consistent uniquement en une formation avancée pour mieux sécuriser les produits et systèmes existants.
Outre la compréhension technique, la stricte séparation entre les différents départements rend souvent invisibles les indices précurseurs à une attaque. Le département informatique est souvent seul responsable de tout ce qui touche au numérique. Si un message d’erreur survient, il manque alors généralement le contexte requis pour détecter à temps un dysfonctionnement inhabituel du système. Les techniciens doivent toujours être pleinement informés afin de pouvoir évaluer correctement les erreurs. À l’inverse, lorsque l’on travaille avec un système informatique et que l’on communique avec le monde extérieur, il faut toujours se demander si les demandes que l’on reçoit sont plausibles. La majorité des attaques sont encore menées par le biais de messages échangés et de visites de sites Web compromis, le tout associé à des manœuvres astucieuses de tromperie (« ingénierie sociale »).
Novembre sous le signe de la formation continue
Cette année encore, la conférence DeepSec, qui se tiendra en novembre, a pour objectif de contribuer à combler les lacunes en matière de connaissances dans le domaine des technologies de l’information et de la sécurité. À cette fin, le programme comprend plusieurs sessions de formation de deux jours qui traitent spécifiquement et en profondeur des sujets liés à la sécurité.
Le premier atelier traite des attaques contre les environnements de bureau modernes, qui sont la clé de toute entreprise. Les formateurs démontrent quelles applications sont vulnérables à quelles faiblesses et comment elles se font exploiter. Cette connaissance est fondamentale pour toute personne qui doit défendre son organisation. Deux autres formations, qui traitent des vulnérabilités des réseaux mobiles et de l’analyse du trafic de données sur les réseaux, s’inscrivent dans cette optique. Ces deux ateliers fournissent des connaissances de base sur l’utilisation correcte des réseaux. L’analyse de votre propre trafic réseau constitue également une base pour la détection des anomalies et des systèmes compromis.
La formation « Pentesting Industrial Control Systems (ICS) » traite des systèmes de commande et de surveillance utilisés dans le secteur industriel. Le formateur est un chercheur en sécurité expérimenté. Il connaît les points faibles des produits utilisés et peut communiquer ses connaissances de ces points faibles de manière orientée sur la pratique. Cette formation est particulièrement recommandée pour tous ceux qui travaillent avec des composants ICS dans les entreprises.
La formation se concentre également sur les systèmes d’authentification unique (Single Sign-On, SSO). Le système informatique de nombreuses entreprises ne nécessite souvent qu’une seule connexion pour avoir accès à tous les systèmes utilisés. Les implémentations de ces fonctions SSO sont analysées et brisées au cours d’une formation de deux jours. La connaissance des vulnérabilités et des attaques présentées est fondamentale pour sécuriser et protéger le système informatique interne de l’entreprise. Il faut se rendre compte que l’infrastructure technique de Colonial Pipeline n’a pas été compromise lors de l’attaque. Les attaquants ont pénétré dans les systèmes de comptabilité, de sorte qu’il n’était plus possible de comptabiliser les quantités livrées. L’infrastructure critique commence sur l’environnement de bureau.
Programme et réservation
La conférence DeepSec 2021 aura lieu les 18 et 19 novembre. Les formations DeepSec auront lieu les deux jours précédents, les 16 et 17 novembre. Toutes les formations (sauf exceptions) et les conférences sont conçues comme des événements en présentiel, mais peuvent être tenues partiellement ou totalement de manière virtuelle en fonction des futures mesures liées au COVID-19.
La conférence DeepINTEL Security Intelligence aura lieu le 17 novembre. Il s’agit d’un événement fermé ; veuillez nous contacter directement pour obtenir des renseignements sur le programme. Nous assurons un chiffrage renforcé de bout en bout des communications : https://deepsec.net/contact.html
Vous pouvez commander vos tickets pour la conférence DeepSec et pour les formations DeepSec à tout moment en ligne sur https://deepsec.net/register.html. Des codes de réduction des sponsors sont à votre disposition. Si vous êtes intéressé·e, veuillez nous contacter à l’adresse : deepsec@deepsec.net. Afin que nous puissions planifier correctement l’événement, nous vous prions de commander les billets dans les temps.