HUMAN
Le grand entretien de la POST Cyberforce
« Au cœur de l’année 2021, l’événement le plus marquant a certainement été le signalement et l’exploitation par des acteurs malintentionnés de la vulnérabilité log4j. »
July 19, 2022
Quels enseignements les experts de POST Cyberforce tirent-ils de l’année 2021 ?
« Au cœur de l’année 2021, l’événement le plus marquant a certainement été le signalement et l’exploitation par des acteurs malintentionnés de la vulnérabilité log4j », commente Jean-Marie Bourbon, Head of CyberForce Offensive Security au sein de POST Luxembourg. Cette vulnérabilité ressemble à bien des égards à la cyberattaque contre SolarWinds, qui constituait une menace à grande échelle à laquelle les acteurs du monde entier ont dû faire face un an plus tôt.
Log4j est une bibliothèque logicielle utilitaire open source programmée en langage Java. Celui-ci étant extrêmement répandu et présent dans de nombreux logiciels, la vulnérabilité associée à ces éléments constituait une menace considérable pour bon nombre d’acteurs. « Le schéma associé à ce type de menace est souvent similaire. Des acteurs malveillants exploitent le fruit du travail d’un chercheur en sécurité informatique, qui a mis à jour une vulnérabilité, explique Olivier Antoine, Head of Information Security Management au sein de POST Luxembourg. Le plus souvent, c’est un vendredi, dans une période proche de la fin de la semaine, quand tout le monde a la tête ailleurs, que ces vulnérabilités sont signalées et exploitées. »
Vulnérabilité Zero Day : s’y préparer
Pour les équipes de POST, opérateur ayant une empreinte considérable sur le marché, l’émergence de ces nouvelles vulnérabilités exige de réagir rapidement. On parle de vulnérabilité « Zero Day », autrement dit de l’exploitation d’une faille jusqu’alors en dehors de tout radar, à laquelle il faut remédier avant toute compromission. « L’enjeu, c’est d’être en capacité de réagir le plus rapidement possible à ce type d’attaque, relève Alain Hirtzig, Head of Telecom Security au sein de POST Luxembourg. Il faut minimiser le temps entre le moment où la vulnérabilité est mise à jour et l’application d’un correctif. Mais encore faut-il savoir si, oui ou non, l’entreprise y est exposée, si les systèmes ont recours aux éléments présentant cette vulnérabilité. Souvent, les acteurs ne disposent pas de listes des divers éléments sur lesquels s’appuient leurs solutions. Et quand bien même ils disposeraient d’un inventaire, celui-ci ne peut pas tout prévoir. »
Les failles, en effet, peuvent être de diverses natures. Les technologies, en outre évoluent sans cesse, pouvant donner lieu à de nouvelles vulnérabilités. « Chacun doit se dire que, tôt au tard, ses systèmes pourraient présenter une vulnérabilité et être impactés. Au niveau de son approche en cybersécurité, ce qu’il faut challenger, c’est dès lors sa capacité à détecter, réagir et répondre à un incident », explique Olivier Antoine.
Adopter une nouvelle approche
D’une part, il faut pouvoir s’appuyer sur une équipe capable d’identifier les failles et les risques, comme le fait un Security Operations Center, d’autre part, il faut se préparer à faire face à une attaque, quelle que soit sa nature. « La protection périmétrique, qui vise à placer des remparts autour de ses systèmes, comme cela a été beaucoup fait jusqu’alors, ne fonctionne pas, explique Jean-Marie Bourbon, Head of CyberForce Offensive Security au sein de POST Luxembourg. Il faut aujourd’hui envisager d’autres approches, en commençant par se demander si on est effectivement prêt à réagir à toute éventualité. Les bonnes procédures sont-elles en place afin de pouvoir contenir l’attaque, limiter la casse ou, le cas échéant, restaurer les systèmes ou les données ? »
Faisant face à des menaces de plus en plus sophistiquées, les entreprises doivent donc se préparer. Tôt ou tard, elles devront gérer une crise. Les experts de POST Cyberforce sont formels, toute personne qui souhaite vraiment compromettre une infrastructure parviendra d’une manière ou d’une autre à ses fins. A côté de cela, les entreprises sont sous le feu permanent d’attaques plus opportunistes mais néanmoins bien pensées. A ce niveau, les tentatives de phishing sont de plus en plus élaborées, dans le but de tromper l’utilisateur et de récupérer des informations.
L’humain, l’autre grand vecteur d’attaque
« Les principaux vecteurs d’attaque, aujourd’hui, ce sont les vulnérabilités Zero Day d’une part, et le facteur humain d’autre part, à travers les tentatives de phishing, explique Régis Jeandin, Head of CyberDefense au sein de POST Luxembourg. Entre 2020 et 2021, de plus en plus d’attaques exploitant de nouvelles vulnérabilités ont été menées. On parle d’une croissance de plus de 200%. Etant donné l’importance du facteur humain, il est primordial d’éduquer et de sensibiliser toutes les équipes. Toutefois, l’erreur humaine ne pouvant être éradiquée, le risque de compromission par ce vecteur reste important. Toutefois, le risque de compromission, dans la mesure où l’erreur est humaine, reste important. » Des exercices régulièrement menés dans les entreprises, pour tester les collaborateurs et les sensibiliser, viendront en témoigner. Au sein d’une équipe, il y a toujours un utilisateur pour, au moins, cliquer sur un lien envoyé dans un e-mail frauduleux.
S’entrainer et se tester
Face à une possibilité d’attaque, toute organisation doit s’entrainer et tester ses systèmes autour de scénarios réalistes. Une RED TEAM, par exemple, aura pour mission de challenger les entreprises en considérant sa surface d’attaque réelle (et non un périmètre bien déterminé comme cela s’envisage avec un test de pénétration). L’idée est d’exposer régulièrement l’entreprise à des exercices proches de la situation réelle, en simulant des attaques réalistes, qui pourront exploiter aussi bien la sécurité physique des bâtiments, l’informatique, le facteur humain à travers le phishing ou des approches de social engineering. « De manière générale, les attaques peuvent être coordonnées, exploiter plusieurs points d’entrée, divers canaux, en vue d’atteindre un objectif, explique Jean-Marie Bourbon. Procéder à des tels exercices permet de tester la réaction, de voir l’efficacité des procédures en place, dans la perspective de pouvoir les améliorer. C’est comme pour un exercice incendie. Il faut pouvoir réfléchir à toute éventualité afin de pouvoir apporter une réponse efficace et coordonnée en situation de crise. »
Sensibiliser les collaborateurs à distance
L’année 2021 a été une période encore fortement marquée par la COVID-19. De nombreux collaborateurs ont continué à travailler à distance. « Le télétravail est contexte propice pour mener à bien des attaques de type « phishing », commente Régis Jeandin. A la maison, où les frontières entre l’environnement professionnel et la sphère privée s’effacent, la vigilance à l’égard des menaces a tendance à s’estomper. On est moins vigilant. Pour les équipes en charge de la cybersécurité, il est difficile de gérer la sécurité jusqu’au domicile de chacun. » Dans ce contexte, on a donc assisté à une recrudescence d’attaques de phishing. Dès lors, il est important de soutenir la communication, de renforcer la sensibilisation en rappelant les bonnes pratiques et les règles d’hygiène en matière de sécurité.
Multiplication des attaques sur mobile
« On a aussi assisté à une hausse des tentatives d’attaques sur les téléphones mobiles, commente Jean-Marie Bourbon. A ce niveau, ce sont souvent des liens envoyés en message privé sur LinkedIn ou Twitter, qui permettent de récupérer des informations confidentielles contenues dans le téléphone. Les mobiles, qui contiennent aujourd’hui de très nombreuses et précieuses données, sont de plus en plus les cibles privilégiées des attaquants. »
Les réseaux télécoms aussi sont ciblés
Les réseaux de télécommunication, d’autre part, peuvent aussi faire l’objet d’attaques. Pour y répondre, POST, en tant qu’opérateur historique dont les activités sont considérées comme critiques, prend les mesures appropriées. « Cela se traduit par la mise en œuvre d’outils de détection avancés, permettant d’identifier des usages non conformes des cartes SIM que nous mettons à disposition, pour par exemple lancer une attaque de type phishing vers d’autres utilisateurs, explique Alain Hirtzig. A ce niveau, les techniques de fraude évoluent. Nous devons dès lors rester vigilants, pour contrer toute tentative visant à exploiter notre infrastructure ou nos services à des fins malveillantes. » En la matière, les équipes de POST Cyberforce ont beaucoup travaillé sur le déploiement de la 5G, qui soulève de nouveaux challenges en terme de sécurité. « L’enjeu, pour nous, a été de créer un environnement securisé pour les utilisateurs du réseau de nouvelle génération, poursuit Alain Hirtzig. Pour cela, il faut pouvoir déployer des capacités de détection et de sécurisation dès la conception du réseau. Les évolutions technologiques nous poussent à aller plus loin. Par exemple, autour des enjeux relatifs à la 5G et à la sécurité, nous menons des projets de recherche, avec le LIST notamment, financés par le Ministère de l’Économie. »
Aller toujours plus loin
Un autre projet est mené avec l’ESA. Son objet est de garantir la confiance dans les échanges en attestant de l’authenticité du contenu partagé et des interlocuteurs (lire notre article relatif à Proofile, cf page 26). « En permanence, notre équipe cherche à proposer des solutions avancées de sécurité et des services contribuant à soutenir nos clients face à des attaques ou à les y préparer, explique Olivier Antoine. Cela se traduit par des technologies avancées de détection des anomalies, notamment au niveau de l’équipe de «Defensive Security», ou encore par des simulations d’attaque d’envergure, pouvant croiser plusieurs problématiques, pour évaluer la résilience de chacune. Ce sont des approches découlant de ce qu’on pourrait appeler une « jurisprudence Fukushima ». D’autre part, les projets de recherche visent à créer de la valeur à long terme, à nous emmener plus loin, à étoffer notre portefeuille de solutions. » Enfin, acteur critique au Luxembourg, l’équipe de POST Cyberforce est engagée dans des actions de coopération au niveau national et européen, pour renforcer la réponse à toute attaque coordonnée contre notre société et améliorer la régulation internationale en matière de cybersécurité.