Keynote Proofpoint : Pourquoi les cybercriminels en savent plus que vous sur vos employés ?
La cybersécurité dépend avant tout de l’humain au sein de l’entreprise. Les données des salariés doivent être protégées en anticipant la logique des cybercriminels. C’est Ryan Kalember, vice-président exécutif chez Proofpoint qui présente cette conférence des Assises de la Sécurité 2019.
Une illustration des fuites de données
La Maison Spaso, située à Moscou, fut pendant longtemps la demeure de plusieurs ambassadeurs américains , et alors qu’y résidait Averell Harriman, elle représentait l’un des lieux dont les soviétiques souhaitaient particulièrement connaître la teneur des conversations. Certains que l’ambassadeur lui-même serait le meilleur moyen d’y parvenir, ils lui firent offrir par un groupe d’écoliers une reproduction en bois du Grand Sceau des États-Unis.
Harriman le fit examiner de manière approfondie et, rien de suspect n’ayant été détecté, il l’accrocha au-dessus de son bureau où il demeura des années durant. « La Chose », comme elle fut ensuite surnommée, avait en réalité été conçue par Léon Theremin et contenait un système passif de transmission radio grâce auquel les soviétiques purent écouter les conversations depuis l’autre côté de la rue. Ce qui fut découvert sept ans plus tard par les Britanniques.
La cybercriminalité repose sur l’humain : porte ouverte aux risques
En France, de nombreuses attaques suivent la même logique. Comme l’explique Ryan Kalember : « Elles reposent sur des personnes qui leur ouvrent la porte. Elles n’exploitent pas de faiblesses techniques ».
Aucun Cheval de Troie ou rançongiciel ne fonctionne tout seul. En matière de cybersécurité, les attaques sont plutôt lancées par de petits groupes d’acteurs parmi lesquels Emotet (542) et qui a envoyé à lui seul le plus grand nombre de maliciels à travers le monde. Sa campagne la plus récente a touché la quasi-totalité des clients de Proofpoint.
Envoyé à partir d’un compte Office 365 compromis appartenant à une personne réelle, le groupe a répondu à tous les messages présents dans la boîte de réception de l’utilisateur en joignant le malware. Les personnes s’attendant à recevoir une réponse ne se méfient pas et cliquent presque systématiquement, ce qui rend l’attaque très efficace. La cybersécurité doit donc s’adapter.
Les données les plus intéressantes sur ces attaques ne sont pas sans rappeler le cas de l’ambassadeur Harriman, car elles exploitent une seule et même vulnérabilité : CVE201711882. Celle-ci ne représente qu’une très petite proportion du problème de cybersécurité global qui repose presque exclusivement « sur des personnes qui font tout le travail pour l’attaquant », rappelle Kalember.
En 1999, l’attaque I Love You, le premier malware reposant sur des macros, exploitait déjà cette vulnérabilité qui, 20 ans plus tard, est encore la plus usitée. En effet, trouver une brèche de cybersécurité dans les systèmes modernes est très compliqué. À l’inverse, trouver une personne qui, ne se doutant de rien, répandra la menace, est toujours possible.
Récemment, un groupe identifié comme Cobalt 537 (aussi connu sous le nom d’Empire Monkey) a dérobé 13 millions d’euros à la banque de La Valette, à Malte. Les attaquants ont alors eu recours un appât très intelligent : un email provenant de la Banque Centrale Européenne utilisant des adresses email tout à fait légitimes. Ils savaient que les banquiers voudraient cliquer sur un email émanant de cette autorité.
Il s’agit d’une technique macro basée sur le travail que fait la cible pour l’attaquant. La raison pour laquelle la cybersécurité a ici été compromise est que la Banque Centrale Européenne n’authentifie pas ses emails. Elle vérifie l’identité des envoyeurs grâce à une politique P=none et aurait donc pu détecter Cobalt qui se servait de ses domaines, mais ne l’aurait pas bloqué.
Une réponse mal adaptée
Dans l’industrie de la cybersécurité, cependant, la plupart des actions ne portent pas sur ce type d’attaques. Si nous observons les brèches de données, 90 % de celles-ci commencent pourtant par une personne qui fait entrer la menace.
Ce déséquilibre n’échappe pas aux cybercriminels : nous protégeons les infrastructures, ils attaquent les individus. « Les amateurs ciblent les systèmes, les professionnels ciblent les personnes », explique Kalember. Pourquoi s’attaquer à une cybersécurité compliquée alors que toutes les informations nécessaires se trouvent sur LinkedIn ?
Quelle réponse apporter à ces menaces ?
Les cibles en disent plus long sur la situation que les attaquants en matière de cybersécurité. Il est donc intéressant de les étudier selon le point de vue de ce dernier et d’identifier la surface d’attaque humaine. La plupart des firmes ne voient qu’un faible pourcentage de leurs employés être attaqué. L’attaque de Cobalt ne ciblait d’ailleurs pas plus de 3 personnes dans chaque banque.
En matière de cybersécurité, Proofpoint choisit d’appliquer un système de classement pour identifier le type d’attaque informatique et les individus à risque en se basant sur ces données :
- Combien d’organisations l’attaque concerne-t-elle ?
- S’agit-il d’un grand nombre de personnes au sein d’une même organisation ?
- L’attaque est-elle préoccupante pour la cybersécurité de ces organisations (rat, keylogger) ?
- Est-elle sophistiquée ?
En regardant ces données sous l’angle humain, il est possible d’identifier un petit groupe de personnes plus susceptibles de recevoir des attaques pouvant porter atteinte à la cybersécurité de l’entreprise en examinant :
- Qui elles sont
- De quelle manière elles sont attaquées
- Leur titre (PDG, responsable des finances, manager marketing, ou parfois des personnes en charge d’une succursale)
Parfois, les critères sont encore moins évidents, raison pour laquelle nous disons que les cybercriminels en savent plus que vous sur vos employés. Ils comprennent souvent mieux une organisation que sa propre équipe de cybersécurité.
Le point de vue de l’attaquant comme point de départ
Les emails externes sont une option, grâce à laquelle l’attaquant peut employer spoofing, fishing, malware, etc. Il est possible de compromettre l’un des utilisateurs et de se servir de son adresse email, comme le fait Emotet, pour cibler d’autres personnes d’importance. La plupart des organisations ne surveillent en effet même pas leurs envois internes.
Enfin, sous Office 365, l’attaque la plus commune est le cassage de mot de passe, où un mot de passe peut avoir été identifié après avoir été changé et servir de base pour deviner le nouveau (quelqu’un qui change son mot de passe chaque année pour ajouter les chiffres de l’année en cours n’est pas protégé). Les attaquants utilisent alors d’anciens protocoles antérieurs à l’authentification à double facteur et compromettent ces comptes.
Le fonctionnement de l’attaque comme solution
Une fois que l’on comprend comment les employés sont attaqués, il faut réfléchir à la manière de les protéger. Sur la totalité des personnes, seules certaines sont susceptibles d’être attaquées, parmi lesquelles un nombre encore inférieur a accès à des données sensibles. Il s’agit alors d’appliquer des mesures de surveillance plus strictes pour ces personnes en particulier.
Les accès (administrateur, utilisation cloud sans double authentification, etc.) de ces personnes sont à prendre en compte. En réduisant le nombre de personnes à protéger, il est possible de les protéger plus efficacement.
En dernier lieu, si un attaquant ne peut compromettre la personne visée directement, il peut peut-être se faire passer pour elle, comme l’a fait Cobalt.
Il faut donc aussi prendre en compte la gestion de la chaîne logistique, consommateurs, clients, etc. Tout ceci s’inscrit dans un ensemble d’objectifs simples :
- Protéger toutes les personnes risquant d’être attaquées en fonction des méthodes qui peuvent être employées.
- Minimiser les dommages lorsque la cybersécurité est compromise.
- Stopper ces attaques dans un écosystème plus large.
Comment protéger les individus contre les cybercriminels ?
De la même manière que le font les attaquants : par l’identification des personnes à risque en établissant des profils (titres, accès, nombre d’adresses avec lesquelles elles communiquent, rôle financier, support informatique avec un accès immense, etc.).
Un PDG, par exemple, ne cliquera pas forcément sur un email de phishing parce qu’il est très occupé. En réalité, il ne s’occupe même pas de ses propres emails dont se charge son assistante. Mais il utilise un certain nombre de réseaux, parfois avec authentification à double facteur.
Il est très souvent attaqué en raison de la troisième dimension : le privilège immense du PDG en termes d’accès aux données importantes. Pour le protéger, une solution CASB exigeant le double facteur pour l’authentification, un contrôle plus poussé de ses emails, et éventuellement une formation de la personne.
Le même cheminement peut être appliqué avec une personne de profil très différent. Les responsables du service client, par exemple, doivent souvent cliquer sur tout ce qui leur est envoyé. Ils sont donc très vulnérables. Ils ne sont peut-être pas attaqués directement, mais ils font partie d’un groupe immense d’adresses email.
Quant à leurs privilèges, ils sont moins importants que ceux d’un PDG, mais ils peuvent avoir accès à des informations sur leurs clients. Sécuriser leur login peut donc être intéressant, de même qu’isoler leur navigation de sorte que lorsqu’ils cliquent sur un lien, celui-ci ne s’ouvrira pas dans leur navigateur, mais dans un navigateur dédié sur le cloud qui permet d’éviter de télécharger des malwares directement.
Ces solutions complexes ne sont pas nécessaires pour tout un chacun, mais si les personnes à risque sont identifiées, elles peuvent leur être appliquées.
Les VAP : l’objectif de cybersécurité principal pour Proofpoint
Proofpoint commence ainsi toujours en identifiant les personnes susceptibles d’être attaquées : les VAP — Very Attacked Person — ou Personne Très Attaquée.
En 1949, la première investigation a été menée sur une escroquerie de type « arnaque nigériane » qui possède une origine française. C’est un exemple classique de fraude 419 : « envoyez-moi un peu d’argent et vous en recevrez beaucoup ».
Il est intéressant de regarder le contexte historique de la cybercriminalité, que l’on peut faire remonter entre Windows 95 et la fin d’Adobe Flash. Cette période est une exception à la règle, car il était alors et pour la première fois dans toute l’histoire de l’humanité plus facile de trouver une vulnérabilité informatique qu’une vulnérabilité humaine.
Rien de tout ceci n’est nouveau : ni les rançons, ni l’extorsion, ni les fraudes 419. Et pendant la plus grande partie de notre histoire, il s’est toujours agi de piéger des personnes, le Cheval de Troie portant bien son nom, puisqu’il partage son nom avec celui du fameux siège de Troie, les Troyens ayant volontairement fait entrer ce cadeau dans l’enceinte de leurs murs.
Il est crucial d’identifier la surface d’attaque humaine, de comprendre les personnes et les départements attaqués, car tout cela se traduit directement en risques pour la cybersécurité.
Intervenant : Ryan KALEMBER, PROOFPOINT
