Le recours massif au télétravail, accentué par la crise sanitaire, a contribué à fournir aux cybercriminels de nouvelles opportunités de s’introduire dans les réseaux des organisations. Une étude de Ponemon Institute menée en 2020 révèle que la fréquence des incidents impliquant une menace interne aurait augmenté de 47 % depuis 2018, et que le coût global moyen de ces attaques aurait bondi de 31 % pour dépasser les 10 millions d’euros à l’heure actuelle. Si la majorité de ces vulnérabilités sont dues à des erreurs - voire à des négligences - certains utilisateurs malintentionnés, des employés ou des tiers qui utilisent leur accès à des fins malveillantes, sont particulièrement difficiles à repérer. Ils agissent sous le radar et peuvent ainsi compromettre des organisations de toutes tailles et de tous secteurs. Plus nombreuses aujourd’hui, ces menaces internes sont pourtant loin d’être récentes, comme l’atteste l’intrigue du film culte Jurassic Park sorti en 1993, réalisé par Steven Spielberg, et adapté du roman éponyme de l’auteur américain Michael Crichton paru dans les années 90.
Dans Jurassic Park, tout commence avec le personnage de Dennis Nedry, opérateur informatique en chef du parc, particulièrement mécontent puisqu’il se sent sous-estimé et sous payé par son employeur, John Hammond. Dès le début de l'histoire, il est confronté à des problèmes financiers qui le poussent – en 18 minutes montre en main – à désactiver les systèmes de sécurité, dérober plus d'une douzaine d'embryons de dinosaures, puis de s'échapper de l'île afin de les vendre au plus offrant : à savoir, le concurrent de son patron.
Dans le film, la salle de contrôle est équipée d’un Macintosh Quadra 700s, considéré en 1990 comme l’un des ordinateurs les plus performants, et il s’en sert pour réaliser des programmes via trois interfaces systèmes. Ces logiciels enregistrent des commandes informatiques lancées par un utilisateur afin de les diffuser plus largement au système d'exploitation qui les exécute. Un fan de la saga a d’ailleurs examiné ces « shells » en installant le même système d’exploitation. Il s'avère qu’il s’agit d’exemples de codes fournis avec le Microsoft Programmer's Workshop. Les cinéastes ayant pris le parti de ne pas entrer dans les détails du piratage pour se concentrer sur l’intrigue principale, il faut donc se baser sur le déroulement du film pour tenter de découvrir la méthodologie d'attaque de Nedry.
Exemple d’une attaque d’initié
Avant de compromettre le système informatique, Dennis Nedry avait pris soin de couvrir ses traces ; si bien que, l’ingénieur en chef Ray Arnold n’était pas parvenu à remettre les systèmes en état de marche. Dans son épopée malveillante, il avait également désactivé l’enregistreur de frappe - un logiciel qui surveille électroniquement l'utilisateur d'un ordinateur à son insu – rend impossible le traçage de cette attaque, sans examiner manuellement deux millions de lignes de code. Par ailleurs, Ray Arnold ne pouvait pirater le mot de passe de Nedry, afin de réactiver les systèmes de sécurité. La seule alternative restait donc d’effectuer un redémarrage manuel, ce qui en théorie permettrait de rétablir les systèmes ; seulement comme l’atteste la suite de l’intrigue ce plan n’a pas fonctionné.
La menace interne initiée par Nedry commence lorsqu’il lance la commande « whte_rbt.obj » depuis son terminal. Ce code mal étiqueté, à l’image d’un fichier de type « .obj », déclenche une attaque par une porte dérobée, c’est-à-dire via une fonctionnalité inconnue de l'utilisateur légitime qui donne un accès secret au logiciel. Tous les systèmes du parc étant accessibles par les mêmes accès, la commande peut alors se propager rapidement.
Afin d’introduire le code dans le réseau, Nedry procède de l’une des deux façons suivantes :
- Ses accès à privilèges élevés, combinés aux mauvaises pratiques de gestion des accès du parc, lui permettent de programmer le code malveillant à partir de son terminal, le rendre exploitable et l’exécuter via son compte administratif.
- En l'absence d’une politique d'accès restreint, il exécute le code directement en ligne, afin de le transférer via un simple support mobile, comme une disquette ou une clé USB.
Les accès à privilèges de Jurassic Park étaient généralisés, en effet, l’ordinateur central communiquait avec tous les composants technologiques opérationnels. De ce fait, Nedry avait un contrôle absolu, non seulement de l'environnement numérique, mais également des infrastructures physiques de l'installation, parmi lesquels les vidéosurveillances, les portes et, bien sûr, les clôtures des enclos des dinosaures. Par ailleurs, à en juger par certaines scènes du film, on suppose que Nedry est authentifié à tous ces systèmes depuis son poste, lui donnant ainsi accès à des réseaux externes et aux équipements sans aucune restriction.
En définitive, il n’y avait pas, ou très peu, de séparation entre le terminal de Nedry et les équipements connectés du parc. L’illustration qu’un cybercriminel déterminé peut, sans mal, corrompre, arrêter les systèmes critiques, voire mettre en danger la sécurité et la confidentialité des autres collaborateurs.
Installations de mesures de sécurité durables et efficaces afin de réduire la surface d’attaque.
Au détriment de l’intrigue, force est de constater que Jurassic Park n’aurait pas connu une telle fin si une gestion des accès à privilèges avait été mise en place. Au-delà de la gestion des comptes des collaborateurs, le parc aurait bénéficié de meilleures pratiques en matière de cybersécurité, telles que la mise en œuvre du principe du moindre privilège et la vérification des accès. Dès lors, un administrateur aurait pu limiter les privilèges non contrôlés de Nedry et les réduire au strict nécessaire. Les capacités de gestion des comptes à privilèges, ainsi que la détection des menaces auraient permis de suspendre et de mettre fin aux accès lorsque des activités et des commandes suspectes étaient exécutées, tout en conservant l’historique des agissements.
En outre, un contrôle rigoureux des applications aurait permis de refuser l’exécution d’applications inconnues en vue d’empêcher la diffusion des programmes malveillants. Nedry n’aurait alors pas pu accéder à la totalité des réseaux via son seul terminal. Toutefois, même s’il avait obtenu un accès légitime en utilisant un logiciel de contrôle, il aurait dû entrer les commandes une par une. Avec un accès unique et centralisé à tous les systèmes et appareils, la restriction des commandes et l’analyse des données auraient rapidement donné l’alerte.
Dans la vie réelle, comme dans la fiction, des personnes malveillantes à l'intérieur ou à l'extérieur d’une organisation peuvent se procurer des accès aux systèmes informatiques et industriels, ainsi qu’aux environnements cloud. Le recours au télétravail et la recrudescence des cyberattaques conduit les équipes IT à être de plus en plus méfiantes et à anticiper les risques, en mettant notamment en place des solutions adaptées. La gestion des accès à privilèges ne doit pas être l’illustration de la théorie du chaos.
Par Jean Christophe Vitu, VP Solution Engineers, EMEA chez CyberArk