Six techniques chères aux cyber-espions gouvernementaux et aux hackers

A lire sur: http://www.industrie-techno.com/six-techniques-cheres-aux-cyber-espions-gouvernementaux-et-aux-hackers.26344#xtor=EPR-25

PAR SOPHIE EUSTACHE PUBLIÉ LE 21/11/2013 À 11H04

© AFP

SUR LE MÊME SUJET

• NSA : les techniques d'un espionnage ciblé

  18/10/2013

• « Si on perd la bataille pour sécuriser le parc existant, on échouera à sécuriser l’Usine[…]

  03/10/2013

• Assises de la sécurité : la cybersécurité cible les Scada

  02/10/2013

• Sécurisation des systèmes embarqués des véhicules

  09/09/2013

E-mails d’hameçonnage, récupération de mot de passe, exportation de données, malwares, backdoor et pak de piratage C2 : après avoir étudié plusieurs rapports, dont ceux du Congrès américains et de Vérizon, Norman Girard, vice président et directeur général Europe de Varoni, revient sur les techniques utilisées par les espions gouvernementaux et les hackers.

"J’ai récemment pris le temps de revenir sur les articles concernant le piratage militaire de la Chine au sein des systèmes d’information de la Défense des Américains. Bien que le mot cyber-attaque prenne un sens plus inquiétant lorsqu’un gouvernement est impliqué, la plupart des journaux ont généralement décrit cet acte comme un fait divers technologique, avec une notion d’espionnage particulière. Il ne s’agit pourtant que d’une nouvelle actualité impliquant des voleurs d’informations qui, bien que travaillant pour un gouvernement, volent des données à partir de serveurs de fichiers en entreprise.
Mon premier réflexe a été d’étudier très sérieusement le compte rendu sur la manière dont ce groupe de voleurs de données s’y sont pris, les risques qui ont été pris et les vecteurs d’attaque utilisés. Il y avait très peu à en tirer. Le rapport annuel du Pentagone au Congrès, à l’origine de ces articles, était également peu développé sur cette partie de l’histoire. Pour en savoir davantage, je me suis donc tourné vers l’une de mes sources d’information préférée, leData Breach Investigations Report (DBIR) de Verizon portant sur les violations de données. En 2012, les auteurs du DBIR soulignent que les activités des acteurs affiliés à un Etat - nom de code désignant des espions et des services de renseignements gouvernementaux - liées aux infractions de données, étaient en forte hausse par rapport aux années précédentes. Leur analyse montre que les gouvernements étrangers ont été impliqués dans 121 des 621 cas de violation recensés par le DBIR. Et 22 % des infractions relevées par le DBIR ont été motivées par la collecte d’informations ciblant des adresses IP d’entreprises et autres données sensibles
Les 6 techniques de vol de données (récupération de mot de passe, exportation de données, hammeçonnage, backdoor, pak de piratage C2, malware) :


Comme le souligne le rapport, la différence entre la collecte de renseignements soutenue par un gouvernement et le piratage ordinaire réside sur le fait que les attaques, dans le premier cas, sont menées sur plusieurs fronts, à l’aide d’une combinaison d’e-mails d’hameçonnage, de malwares et de la collecte d’une grande variété d’informations d’identifications piratées. En faisant ma propre analyse des données brutes que le DBIR fournit librement, j’ai pu me faire une meilleure idée de ces attaques orchestrées par les gouvernements. Le tableau ci-dessus présente les six premiers mécanismes d’attaque utilisés par les pirates gouvernementaux. Comme le note le DBIR, ces 121 infractions sont basées sur des exploits bien rodés, pour lesquels certaines tactiques reviennent presque toujours.

Hammeçonnage par email

Les différentes techniques de piratage ressemblent en effet à quelque chose comme ceci : un utilisateur assis dans un bureau quelque part - société faisant partie du « Fortune 500 », entreprise dans le secteur de la défense ou de la recherche universitaire - se laisse prendre à une attaque de type d’hameçonnage par e-mail grâce à laquelle une porte dérobée est installée sur son ordinateur. Ce petit programme malveillant contacte alors le serveur de commande et de contrôle d’un gouvernement étranger. Les serveurs donnent l’ordre à la porte dérobée d’exécuter des commandes simples, notamment le repérage d’un système de fichier, puis l’exportation de données supposées intéressantes. Souvent, le gouvernement étranger est également à la recherche du fichier rassemblant l’ensemble des mots de passe afin d’effectuer une recherche inversée, puis de pirater ces comptes à distance. Le DBIR rappelle notamment que l’authentification en deux étapes pourrait bloquer 80 % des attaques liées à l’usurpation de mots de passe. Ce qui fonctionne pour les cyber-voleurs ordinaires fonctionne tout aussi bien pour les cyber-espions. Un audit et une surveillance d’accès aux fichiers et des autorisations des utilisateurs pourraient également repérer l’activité de ces derniers qui accèdent parfois à des documents auxquels ils ne doivent normalement pas toucher." Norman Girard, vice président et directeur général Europe de Varoni