« Connais ton ennemi comme tu te connais toi-même » On doit cette citation bien connue à Sun Tzu, général chinois du 5ème siècle avant JC qui a écrit le célèbre ouvrage : L’Art de la guerre.
Même si Sun Tzu traite en premier lieu de stratégie militaire, ses principes sont applicables à des domaines aussi variés que la politique, l’économie, la théorie des jeux… ou pourquoi pas la sécurité informatique. De fait, « Connais ton ennemi comme tu te connais toi-même » trouve une application directe lors de la cyber-attaque d’un site web - ou une plus globalement d’une société. Pourquoi ? Etudier les méthodes des pirates permet de répondre à cette question.
Stratégie d'attaque
Plaçons-nous dans la position d’un hacker visant une société que nous nommerons MyCompany. La première phase consiste pour lui à acquérir le plus d’informations possible sur sa cible. Plus il en saura, plus ses chances de trouver un point d’entrée potentiel dans leur système seront grandes. Cette phase est souvent sous-estimée et négligée par un hacker « amateur ». Elle est cependant décisive pour un professionnel et lui permet de récolter les informations nécessaires à la réussite de son attaque.
Un avantage majeur pour l’attaquant c’est que, sur internet, ces informations sont souvent publiquement accessibles. Réseaux sociaux, serveurs DNS et site web sont quelques unes des sources couramment utilisées par les hackers. Le type de source est spécifique à chaque société et la quantité d’information trouvée proportionnelle au temps que l’attaquant dédie à cette phase.
Autre avantage, également lié à la virtualisation du champ de bataille : la cible n’a quasiment aucune chance de savoir qu’elle fait l‘objet d’une analyse détaillée car les données récoltées sont disponibles librement. La collecte d’informations sur un site web est noyée dans le trafic internet et, sur les réseaux sociaux, l’information n’est pas contrôlée par l’entreprise. On est bien loin de l’espion qui devait s’infiltrer en territoire ennemi pour récupérer les informations puis s’exfiltrer sans se faire prendre.
Toutes les informations sont bonnes à prendre
Différents types d’informations peuvent être recherchés:
-
Métier : Comprendre comment fonctionne l’entreprise, quel type de services ou de produits elle propose, quels sont les moyens de communications entre l’entreprise et ses clients (portail web, VPN, mail), identifier les mots clefs liés aux produits et solutions offerts.
-
Personnes : Les réseaux sociaux professionnels du type LinkedIn, Viadeo et Xing sont des mines d’information sur les employés. Nom, adresse email, téléphone, position dans la société sont autant d’éléments qui peuvent être utilisés par la suite. Les réseaux sociaux privés du type Facebook sont ensuite utilisés pour acquérir des informations personnelles sur chacun des employés, le but étant de reconstituer des profils aussi complets que possible.
-
Documents : Les fichiers docx, xls et pdf présents sur les sites d’une entreprise contiennent des métadonnées, c'est-à-dire des informations relatives à l’identité du document. On peut savoir par exemple qui en est l’auteur, à quel moment et avec quel programme. Ajoutées de manière automatique lors de la création du document, ces informations sont extrêmement utiles à l’attaquant. L’auteur du document se révèle souvent être un compte du domaine visé. Et connaître la version détaillée de l’OS ou du software utilisés peut permettre de déterminer la vulnérabilité spécifique pouvant toucher la machine de l‘utilisateur.
-
Réseau : A partir d’un domaine tel que myCompany.com, le hacker recherche les sous-domaines rattachés. Parmi les plus communs, on peut citer www.myCompany.com, ou encore mail.myCompany.com. Ils sont faciles à deviner et sont donc souvent les premiers ciblés lors d’une attaque. Ils sont également les plus sécurisés car l’équipe IT leur porte une attention particulière. De ce fait, les autres sous-domaines sont des cibles très intéressantes. Ils exposent souvent des services très spécifiques qui sont moins bien maitrisés techniquement qu’un service web ou qu’un service mail. Il s’agira par exemple de serveurs de test ou parfois de machines « oubliées ». Par divers moyens, on peut énumérer un maximum de ces sous-domaines, le but étant d’en obtenir autant que possible.
Les trois axes de sécurité principaux
De notre point de vue « navixien », nous observons que les discussions que nous avons avec nos clients à propos de sécurité portent sur deux axes principaux.
-
Le premier, la sécurité du réseau reste largement le plus important, que ce soit en termes d’investissement financier ou humain. Firewall, Proxy, VPN et IPS restent les éléments fondamentaux de l’architecture informatique externe d’une entreprise.
-
Le deuxième axe concerne l’aspect humain de la sécurité. Les entreprises ont toujours davantage conscience de son importance, mais elles sont encore peu nombreuses à prendre les mesures nécessaires. En résumé, l’équipe IT est très bien formée, mais le reste de la société ne l’est pas ou très peu. Pourtant, donner à tous les employés la notion des risques liés à l’utilisation des outils informatiques représente un élément clé de la stratégie de protection de l’entreprise.
-
Un troisième axe devrait être pris en considération : la visibilité de la société sur internet. Quelles sont les données disponibles ? Et quelle est leur importance d’un point vue sécuritaire ? Certaines informations permettent en effet de mesurer la « présence » d’une société sur internet: le nombre de profils rattachés à l’entreprise, les adresses e-mail présentes sur le site web ou encore les métadonnées de chaque document. Même s’il est quasiment impossible pour l’entreprise de savoir qui accède à ces informations, elle peut toutefois les contrôler, du moins en partie. Ce travail commence par un suivi régulier qui fournit un panorama de leur évolution dans le temps. Le but final de cet examen n’est pas de retirer d’internet toute trace de l‘entreprise, mais de contrôler la nature des informations disponibles.