Pour indispensables qu’ils soient, les outils traditionnels de sécurité informatique ne suffisent plus à protéger les organisations. Les pirates sont en particulier friands des vulnérabilités Zero-day, des ‘nombreuses’ failles dans les systèmes qui ne sont pas connues et qui permettent de pénétrer le SI sans être détecté. Sauf à mettre en place une nouvelle génération d’outils de sécurité qui reposent sur la centralisation de l’information et la collaboration (SIEM), et sur la détection et la remédiation jusque sur les terminaisons (EDR).

Une attaque informatique repose généralement sur l’exploitation d’une faille, un défaut dans la cuirasse du système d’information (SI), qui va permettre au pirate de pénétrer dans le SI pour commettre ses méfaits. Le plus souvent pour dérober des données, confidentielles, personnelles, stratégique et si possibles monnayables. Et aujourd’hui pour crypter les fichiers et les rendre inexploitables, afin de soumettre l’utilisateur à un chantage : payez une rançon pour obtenir la clé qui débloquera vos données ; c’est ce qu’on appelle un ransomware ou rançongiciel. Pour lutter contre ces menaces de pénétration, la solution consiste à corriger la faille, ce qui la rend inexploitable. C’est la raison pour laquelle il est plus que conseillé de mettre à jour ses environnements et applications au rythme auquel nous soumet l’éditeur. Car chaque mise à jour vient corriger une faille.

La faille Zero-day

Cependant, dans cette course permanente qui vise à corriger une faille le plus rapidement après sa découverte afin que les pirates ne puissent l’exploiter, il existe une situation particulière qui fait la richesse des pirates, la vulnérabilité Zero-day. Il s’agit d’une faille informatique qui n’a fait l’objet d’aucune publication destinée à la corriger. Elle est donc généralement méconnue, et aucun correctif (mise à jour) n’est proposé. Une faille de sécurité qui ne bénéficie pas d’une protection, et qui ainsi permet de pénétrer le système sans se faire arrêter, c’est le rêve du pirate ! Et son quotidien, car il suffit de se référer à l’actualité de la cybersécurité pour constater que de nombreuses attaques informatiques s’appuient sur des failles Zero-day… même les plus anciennes car beaucoup d’utilisateurs n’appliquent pas les mises à jour !

L’exemple récent le plus connu qui a défrayé la chronique, Wannacry, est un logiciel malveillant, un ransomware, dont l’attaque repose sur une faille du système Windows XP (obsolète depuis plus de 10 ans), et plus généralement les versions qui précèdent Windows 10 de Microsoft, si elles n’ont pas été mises à jour, ce qui aurait dû être fait en temps et heure ! La vulnérabilité Zero-day, appelée EternalBlue, a été découverte voici quelques années par la NSA, le service d’espionnage américain, puis dérobée par un groupe de pirates qui en a fait un outil de pénétration des systèmes Windows non corrigés. Une fois dans la place, Wannacry génère deux clés pour chiffrer les données et invite à payer une rançon pour les débloquer… Notons cependant que, dès que la faille a été trouvée, la menace Zero-day a sauté ! Elle n’a pas pour autant disparu, car tant que des utilisateurs n’auront pas corrigé la faille, il y aura toujours un pirate qui tentera de l’exploiter… avec succès !

Se protéger des vulnérabilités Zero-day

En matière de cybersécurité, peut-on se protéger d’une faille qui n’est pas connue ? Une attaque classique, un virus par exemple, laisse une signature, une trace dans son code ou son mode opératoire, qui intégrée dans la base de l’antivirus lui permet de le repérer et le bloquer. Ou alors l’attaque repose sur un mode comportemental qui permet de détecter la menace afin là encore de la bloquer. Dans le cadre des failles Zero-day, rien de cela puisque la vulnérabilité n’est pas connue. Ce n’est donc pas dans la réactivité que l’on trouvera la solution à ces menaces, mais dans la proactivité.

L’objectif est de transformer la démarche « Je me protège contre les attaques » en « Je ne veux pas être attaqué ». Autrement dit, repérer et bloquer les menaces potentielles au plus vite. La détection repose sur l’usage de technologies et sur la collaboration pour repérer ce qui peut éventuellement être une faille Zero-day. Ces technologies sont présentes dans une sand box, une grosse boîte noire destinée à analyser et tester le code en direct. C’est une approche proactive de la sécurité qui fait appel à l’automatisation grâce aux technologies de Machine Learning, une déclinaison de l’intelligence artificielle qui intègre des outils d’autoapprentissage. Pour les solutions les plus avancées, les plus lourdes également, on fait appel au Deep Learning, c’est à dire à la détection en profondeur, qui cependant nécessite des ressources importantes. Dans tous les cas, ce sont les algorithmes qui prennent la responsabilité et la décision de bloquer ce qui leur semble être une menace, et du niveau à partir duquel le système laisse passer ou non un process détecté douteux.

SIEM et EDR, démocratiser la lutte contre le Zero-day

Ces solutions coûtent cher car elles demandent des ressources dédiées à 100% à la détection. Mais les éditeurs ont travaillé cette problématique pour démocratiser leurs technologies, car toutes les organisations, quel que soit leur taille, sont des cibles potentielles pour les pirates. Une première approche va consister à centraliser la stratégie, les outils et les données de cybersécurité en un guichet unique SIEM (Security Information and Event Management), un système de gestion des informations et des événements de sécurité qui permet de disposer d’une vue holistique de la sécurité pour faciliter l'identification d'éventuelles tendances et de schémas inhabituels qui pourraient cacher des menaces. Avec le SIEM, la priorité n’est plus donnée à la prévention, que les outils traditionnels à jour suffisent à assurer, mais à la détection et à la réponse aux incidents.

Dans ce cadre nouvellement défini, et concernant plus directement les failles Zero-day, des solutions plus accessibles existent également, qui se concentrent sur le ‘end point’, la terminaison. Elles reposent sur des technologies intégrées aux terminaux (serveur, PC, portable, smartphone, etc.) pour réaliser du pseudo sand boxing qui embarque une analyse en direct reposant sur des règles cachées. Sans disparaître pour autant, les solutions classiques de protection du poste de travail (EPP), l’antivirus et le parefeu, sont complétées d’outils de détection des menaces et de réponse au niveau des points de terminaison appelés EDR (Endpoint Dectection and Response). Les outils d’EDR – qualifiés de détection et remédiation sur le point de terminaison - sont conçus pour détecter seulement des activités malicieuses et des logiciels malveillants, ce qui en revanche leur permet de détecter un attaquant humain qui exécute des commandes via un accès distant. Ils prennent d’ailleurs la place d’une partie des fonctionnalités du SIEM.

Technologies, collaboration et PRA

Nous l’avons évoqué, cette nouvelle approche de la cybersécurité nécessite également la collaboration. Onéreuses, complexes, difficiles à exploiter comme à comprendre, les boîtes de sand boxing doivent être partagées afin d’accéder le plus largement possible aux infrastructures, même virtuelles, et aux postes à protéger. Et ainsi de profiter à tous. Avec l’EDR, si un poste est attaqué, et que la faille et l’attaque sont confirmées, l’étape suivante consistera à isoler le poste qui subit probablement l’attaque afin d’éviter que celle-ci ne se propage. Mais également à tester les autres postes afin d’anticiper et corriger avant l’arrivée de l’attaque partout dans l’organisation. Ce qui demande une infrastructure, des agents et une politique. Mais ce qui garantit également la fin du Zero-day !

Ajoutons à cela l’indispensable stratégie de sauvegarde et de PRA (Plan de reprise d’activité) - pour conserver une copie récente des configurations, des applications et des données, et pouvoir repartir sur celle-ci en cas d’incident, de risque ou de perte du SI. Car l’ampleur d’une attaque et de ses effets sur l’informatique de l’organisation dépendent également de la volonté du pirate à profiter des failles présentes, des moyens comme des technologies qu’il met en place pour porter ses menaces, mais aussi de l’inconscience de certains utilisateurs qui laissent des ‘portes’ ouvertes, qui se font berner (phishing), ou qui parfois sont directement à l’origine de certaines dérives.

Une méthodologie Zero-day en 6 étapes

Pour résumer, face aux vulnérabilités Zero-day, l’entreprise mettra en place une stratégie de cybersécurité en six points :

  1. Mettre à jour les environnements et applications, ainsi que les outils de sécurité traditionnels qui seront maintenus.
  2. S’assurer que les politiques de sauvegarde et de PRA sont appliquées et testées.
  3. Centraliser la stratégie, les outils et les données de sécurité en un guichet unique SIEM.
  4. Mettre en place un outil de sécurité et de détection Zero-day, comme le sand boxing et l’EDR.
  5. Imposer la démarche en mode collaboratif dans toute l’organisation et s’assurer de l’adhésion des métiers.
  6. Demeurer vigilant et se tenir informé de l’évolution des menaces et des réponses apportées.

Image d’entête 689062320 @ iStock nicescene