Cible un jour, cible toujours
Lorsque je parle avec des cadres dirigeants à la suite d'une cyberattaque, la première réaction est souvent celle d'une introspection à la recherche des raisons de l'attaque. Pourquoi les cybercriminels ont-ils choisi de m'attaquer moi, notre organisation, cette culture ? En réalité, il est difficile de comprendre pourquoi. Il existe évidemment les motivations classiques liées à un gain financier, au vol de la propriété intellectuelle, à l'espionnage d'entreprise, au sabotage, à la réputation ou à l'activisme politique. Mais pourquoi moi ? Pourquoi nous ?
La plupart des cyberattaques ne relèvent pas d'une technologie particulièrement avancée en matière de science de l'informatique ou de mécanique quantique. Elles sont peut-être astucieuses dans la mesure où elles paraissent authentiques et jouent sur nos émotions. Mais dans les faits, les cyberattaques font partie d'une chaîne de montage approximative, et votre organisation n'est peut-être que la dernière cible d'une séquence sans fin.
Les statistiques courantes montrent que dans 9 cyberattaques sur 10, la cause première des dommages est associée à du phishing. En termes simples, le phishing ou hameçonnage consiste à tenter d'inciter une personne à effectuer une action qui conduira involontairement à des dommages. Ce type d'attaque est facile à configurer, rentable et efficace. Pour organiser des campagnes de phishing, les attaquants ont besoin de cibles humaines, qui sont représentées par des adresses e-mail. Les attaquants se procurent ces adresses, les inscrivent dans une base de données, et commencent à lancer les attaques. L'objectif est d'obtenir des clics.
En matière de phishing, ce n'est pas tant la cible qui importe, mais le volume. Une fois que vous figurez dans la base de données d'attaque, vous êtes une cible perpétuelle pour n'importe quelle campagne de phishing lancée par cet acteur ou ce groupe organisé. D'après mon expérience au sein de la National Security Agency (ainsi que les travaux de recherche de mon équipe dans d'autres organisations non gouvernementales, criminelles et autres), les cyberacteurs mettent au point leurs opérations sous la forme de chaînes de montage. Des équipes différentes sont chargées du ciblage, du lancement et de l'exécution, des méthodes d'exploitation techniques, des activités sur la cible, de l'analyse et de l'exploitation après campagne. Il suffit de peu d'efforts pour optimiser ces chaînes de montage dans le temps, en particulier lorsque les tentatives des attaquants aboutissent.
Les affres interminables de la position de cible
L'équipe de cloudforce One a procédé à de vastes recherches sur l'ampleur des dommages à long-terme que pouvait provoquer une campagne de phishing relativement simple sur de nombreuses organisations. Nous avons étudié la campagne d'attaques lancée au lendemain de l'élection présidentielle de 2016 aux États-Unis par un groupe d'espionnage russe que nous avons appelé RUS2 (un groupe qui a pour cible des organisations politiques).
En reconstituant la base de données de cibles, nous avons constaté que les cibles du phishing comprenaient non seulement des officiels du gouvernement actuel mais également d'anciens officiels et collaborateurs politiques. Les individus ciblés ont continué de recevoir des e-mails de phishing vers leurs adresses personnelles longtemps après avoir changé d'emploi. Certains étaient dans la base de données depuis près de 10 ans au moment de l'attaque de 2016 et continuent d'être ciblés aujourd'hui.
Prévenir les conséquences graves grâce au Zero Trust
C'est là que les choses deviennent intéressantes.
Les noms, numéros de téléphone et adresses e-mail compromis restent indéfiniment dans les bases de données de phishing. Peu importent les échecs de remise d'e-mail ou que le destinataire ne morde pas à l'hameçon, les attaquants ne prennent pas la peine de supprimer des noms dans la liste. Une fois que vous avez été victime d'une attaque de phishing, vous restez une cible à tout jamais.
Pour les entreprises et les agences gouvernementales, la conservation des informations de contact dans les bases de données de phishing ajoute une couche de danger supplémentaire. Lorsqu'une personne change d'emploi, elle met sa nouvelle organisation en danger dans la mesure où elle ouvre un nouveau vecteur vers le réseau d'une nouvelle organisation.
Compte tenu de la simplicité et de l'efficacité du phishing, les prévisions pour l'avenir indiquent que les cyberattaquants continueront d'utiliser cette tactique car elle est efficace. Nous ne pouvons pas faire grand chose pour les empêcher d'essayer. Nous pouvons toutefois les empêcher de réussir.
Nous devons partir du principe que risque est permanent et que chaque personne constitue potentiellement un point d'entrée.
Au cours des 20 dernières années de ma carrière (dans le cadre de la National Security Agency et de l'United States Cyber Command, période pendant laquelle je me suis consacré à la mise au point d'une technologie permettant de prévenir les attaques de phishing), j'ai constaté que le meilleur moyen d'atténuer l'impact des scénarios de phishing était d'adopter une stratégie de sécurité Zero Trust. Les systèmes informatiques traditionnellement chargés de la sécurité réseau faisaient confiance à tous les utilisateurs et à tous les appareils situés au sein du réseau. Ce dernier leur accordait sa confiance par défaut, dès lors qu'ils parvenaient à se connecter.
Dans le modèle Zero Trust, le réseau ne fait confiance à rien ni personne. Personne ne dispose d'un accès totalement débridé ni digne de confiance à l'ensemble des applications et des ressources situées au sein d'un réseau.
La meilleure approche du Zero Trust est celle du multicouche. Pour prendre un exemple, imaginons que votre première ligne de défense se compose de mesures permettant de traquer les infrastructures de phishing et de bloquer les campagnes de manière préventive avant que les utilisateurs ne puissent ne serait-ce que cliquer sur un lien malveillant contenu dans un texte ou un e-mail. Vous pouvez ensuite mettre en place un processus d'authentification multifacteur (Multi-Factor Authentication, MFA) complété par un dispositif de sécurité physique afin de protéger vos réseaux, même si des acteurs malveillants parvenaient à s'emparer de noms d'utilisateurs et de mots de passe. De même, vous pouvez également appliquer le principe du moindre privilège pour vous assurer que les pirates qui ont réussi à franchir les mesures d'authentification multifacteur ne puissent accéder qu'à un nombre limité d'applications. Enfin, vous pouvez partitionner votre réseau en le micro-segmentant afin de contenir très rapidement la moindre violation.
Expérimentez en direct l'efficacité de la sécurité multicouche
L'année dernière, Cloudflare a déjoué une attaque de phishing à l'aide d'un processus d'authentification multifacteur (MFA) complété par l'utilisation de clés de sécurité physiques dans le cadre de notre approche Zero Trust multicouche. L'attaque a commencé lorsqu'un certain nombre de nos collaborateurs ont reçu un SMS qui les conduisait à une page de connexion Okta d'aspect tout à fait authentique, mais néanmoins conçue pour collecter des identifiants. L'acteur malveillant a ensuite tenté de se connecter aux systèmes Cloudflare à l'aide de ces données dérobées et de codes de mot de passe à usage unique (Time-based One Time Password, TOTP). L'attaque nécessitait en effet que les collaborateurs participent au processus d'authentification. Malheureusement pour cet acteur malveillant, Cloudflare était déjà passée du système TOTP aux clés physiques.
Si les clés physiques n'avaient pas été mises en place, d'autres mesures de sécurité auraient permis d'empêcher l'attaque d'atteindre son objectif, mais fort heureusement, la menace n'est pas allée si loin. Notre équipe d'intervention en cas d'incident de sécurité a rapidement bloqué l'accès au domaine utilisé pour la page de connexion fictive avant d'interrompre les sessions actives et compromises à l'aide de notre service d'accès réseau Zero Trust. Si le pirate s'en était retrouvé au moment de tenter d'installer un logiciel malveillant, le système de sécurité des points de terminaison que nous utilisons aurait bloqué le processus d'installation. Une telle stratégie multicouche permet de s'assurer de l'atténuation des conséquences d'une attaque, même si cette dernière parvenait à aboutir sur un de ses aspects.
Prenez l'avantage
Les cyberattaques arrivent assez rapidement, mais si vous prenez le temps de regarder autour de vous, vous constatez qu'elles n'évoluent pas vraiment.
Comment les empêcher de réussir ?
D'abord, prévoyez des contrôles anti-phishing stricts. Les contrôles MFA n'ont pas tous le même degré d'efficacité, veillez à adopter une MFA résistant au phishing et des mesures d'application sélectives à l'aide de politiques reposant sur l'identité et le contexte. Imposez une authentification forte partout et pour tous les utilisateurs, toutes les applications, y compris pour les systèmes traditionnels et qui ne sont pas dans le web. Enfin, vérifiez que tout le monde figure dans « l'équipe cyber » en instaurant une culture de la paranoïa exempte de toute recherche de responsabilité qui permette de signaler toute activité suspecte de manière précoce et régulière.
Les moyens de prévenir le phishing sont peu nombreux, mais les possibilités d'en prévenir les conséquences le sont, fort heureusement. Grâce à l'approche Zero Trust, vous êtes certain que le prochain courrier qui vous sera adressé par une chaîne de montage d'e-mails de phishing n'aura aucune conséquence. Cliquez ici pour en apprendre davantage sur la plateforme Zero Trust multicouche de Cloudflare.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la marche à suivre pour progresser vers la sécurité Zero Trust et protéger votre entreprise contre les conséquences des attaques de phishing dans notre rapport intitulé Roadmap pratique de l'architecture Zero Trust.
Auteur
Oren Falkowitz — @orenfalkowitz
Ancien responsable de la sécurité, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Une fois que les attaquants ont obtenu vos informations personnelles, ils les conservent dans leur base de données indéfiniment
Les attaques par phishing (hameçonnage) font partie d'une chaîne de montage rudimentaire
Il y a peu de solutions pour éviter le phishing, mais il y en a beaucoup qui permettent d'en anticiper les dommages