À peine l’année vient-elle de commencer que déjà les cyber-attaques de grande envergure se comptent par dizaines, à commencer par celle ayant récemment privé plus de 80 000 ukrainiens d’électricité. Pour les contrer, à chaque entreprise sa stratégie : toutes se protègent derrière leur pare-feu, certaines derrière des solutions plus élaborées mais très peu s’attachent à anticiper les attaques dont elles pourraient être victimes. Et pourtant, il existe un moyen simple de s’y attaquer, et ce, au travers de l’intelligence appliquée à la cyberdéfense.
L’intelligence appliquée à la cyberdéfense… une évidence ?
Anticiper les attaques nécessite de connaitre à la fois le fonctionnement des infrastructures et celui des cybercriminels, notamment en analysant leur mode opératoire. Avant leurs attaques, les pirates s’attachent à glaner le maximum d’informations sur leurs cibles, allant parfois jusqu’à utiliser des techniques de social engineering pour identifier la faille. Un employé peu méfiant cliquera sur un lien sans se douter qu’il vient de faire entrer le loup dans la bergerie. C’est précisément cette approche proactive et ciblée que doivent s’approprier les entreprises.
Certaines grandes entreprises ont déjà saisi l’importance de connaître l’ennemi et leurs services informatiques effectuent des audits afin d’identifier, comprendre et prévenir les failles. C’est un bon début mais qui est loin d’être suffisant face à l’évolution constante et à la complexité des techniques de cyber crime. Les audits se basent sur ce que l’on sait, mais le véritable danger vient de ces techniques que les criminels utilisent déjà et que nous n’avons pas encore mises au jour.
C’est précisément là que l’utilisation de techniques d’intelligence appliquées à la cyber sécurité trouve tout son sens. Les solutions comme les pare-feu ou les anti-virus sont très utiles pour parer les dizaines, voire les centaines de micro attaques presque anodines qui visent les entreprises chaque jour. Surtout, elles permettent de documenter ces attaques. Les audits et autres tests apportent de l’information supplémentaire. L’intelligence consiste à tirer profit de ces informations, centralisées, corrélées et enrichies pour bénéficier d’une vision contextuelle globale de ce qu’il se passe sur le réseau.
Ne pas tout surveiller, mais surveiller ce qui compte : le DNS
L’efficacité d’une approche intelligente de la cyber défense se renforce avec l’augmentation du volume d’informations dont l’entreprise dispose sur son système d’information et sur ceux qui se connectent à son réseau. Par exemple, il est plus facile d’évaluer la dangerosité d’un flux sortant de données si l’on est capable de le comparer à d’autres, beaucoup d’autres, et d’identifier un comportement suspect. Est-ce que cela veut dire qu’il faut tout surveiller et tout documenter ? Heureusement non, car certaines parties du SI sont plus exposées au danger que d’autres. C’est le cas du DNS, qui est sans doute la porte dérobée préférée des cyber criminels car la très grande majorité des entreprises ne savent même pas qu’elle existe.
Le DNS est le protocole qui permet la navigation internet et implique de facto qu’aucune entreprise ne peut s’en passer. C’est aussi un protocole ancien et donc souvent ignoré. Il est très utile mais il peut également être dangereux. Plus de 91,3 % des malwares échappent aux canaux classiques grâce au DNS, qu’ils utilisent pour créer un canal de communication avec leur centre de commande. On trouve également quelques cas d’exfiltration des données utilisant le DNS. Ils ne concernent qu’une minorité des attaques de malware sur le réseau mais le risque associé est très important car ils volent des petites quantités de données sur de longues périodes, parfois plusieurs mois.
L’entreprise Home Depot en a fait l’amère expérience en 2014 quand ses points de vente ont été attaqués. Plus de 50 millions de carte de crédit qui ont été compromises par framework POS, un malware d’exfiltration de données. Plus tard, l’utilisation du DNS dans cette attaque été reconnue et rendue publique mais à ce jour peu d’initiatives concrètes ont été prises pour corriger les vulnérabilités.
Protéger le DNS, un investissement limité qui peut rapporter gros
Se prémunir contre les attaques DNS ne demande ni des moyens financiers, ni des moyens humains ou techniques particulièrement importants. Il suffit de mettre en place des indicateurs qui permettront d’analyser les flux de communication transitant par le DNS, et ce afin d’identifier les terminaux et les noms de domaines qui ont un comportement inhabituel. L’intelligence permet de se protéger contre les attaques d’aujourd’hui mais également contre leurs versions évoluées de demain. En parallèle, il ne faut jamais baisser la garde. Comprendre les différents scénarios des cyber criminels est primordial, ils seront toujours plus rapides et plus imaginatifs et nous devons l’être tout autant.