Cible un jour, cible toujours
Lorsque je parle avec des cadres dirigeants à la suite d'une cyberattaque, la première réaction est souvent celle d'une introspection à la recherche des raisons de l'attaque. Pourquoi les cybercriminels ont-ils choisi de m'attaquer moi, notre organisation, cette culture ? En réalité, il est difficile de comprendre pourquoi. Il existe évidemment les motivations classiques liées à un gain financier, au vol de la propriété intellectuelle, à l'espionnage d'entreprise, au sabotage, à la réputation ou à l'activisme politique. Mais pourquoi moi ? Pourquoi nous ?
La plupart des cyberattaques ne relèvent pas d'une technologie particulièrement avancée en matière de science de l'informatique ou de mécanique quantique. Elles sont peut-être astucieuses dans la mesure où elles paraissent authentiques et jouent sur nos émotions. Mais dans les faits, les cyberattaques font partie d'une chaîne de montage approximative, et votre organisation n'est peut-être que la dernière cible d'une séquence sans fin.
Les statistiques courantes montrent que dans 9 cyberattaques sur 10, la cause première des dommages est associée à du phishing. En termes simples, le phishing ou hameçonnage consiste à tenter d'inciter une personne à effectuer une action qui conduira involontairement à des dommages. Ce type d'attaque est facile à configurer, rentable et efficace. Pour organiser des campagnes de phishing, les attaquants ont besoin de cibles humaines, qui sont représentées par des adresses e-mail. Les attaquants se procurent ces adresses, les inscrivent dans une base de données, et commencent à lancer les attaques. L'objectif est d'obtenir des clics.
En matière de phishing, ce n'est pas tant la cible qui importe, mais le volume. Une fois que vous figurez dans la base de données d'attaque, vous êtes une cible perpétuelle pour n'importe quelle campagne de phishing lancée par cet acteur ou ce groupe organisé. D'après mon expérience au sein de la National Security Agency (ainsi que les travaux de recherche de mon équipe dans d'autres organisations non gouvernementales, criminelles et autres), les cyberacteurs mettent au point leurs opérations sous la forme de chaînes de montage. Des équipes différentes sont chargées du ciblage, du lancement et de l'exécution, des méthodes d'exploitation techniques, des activités sur la cible, de l'analyse et de l'exploitation après campagne. Il suffit de peu d'efforts pour optimiser ces chaînes de montage dans le temps, en particulier lorsque les tentatives des attaquants aboutissent.
Les affres interminables de la position de cible
L'équipe de cloudforce One a procédé à de vastes recherches sur l'ampleur des dommages à long-terme que pouvait provoquer une campagne de phishing relativement simple sur de nombreuses organisations. Nous avons étudié la campagne d'attaques lancée au lendemain de l'élection présidentielle de 2016 aux États-Unis par un groupe d'espionnage russe que nous avons appelé RUS2 (un groupe qui a pour cible des organisations politiques).
En reconstituant la base de données de cibles, nous avons constaté que les cibles du phishing comprenaient non seulement des officiels du gouvernement actuel mais également d'anciens officiels et collaborateurs politiques. Les individus ciblés ont continué de recevoir des e-mails de phishing vers leurs adresses personnelles longtemps après avoir changé d'emploi. Certains étaient dans la base de données depuis près de 10 ans au moment de l'attaque de 2016 et continuent d'être ciblés aujourd'hui.
Prévenir les conséquences graves avec le Zero Trust
C'est là que les choses deviennent intéressantes.
Les noms, numéros de téléphone et adresses e-mail compromis restent indéfiniment dans les bases de données de phishing. Peu importent les échecs de remise d'e-mail ou que le destinataire ne morde pas à l'hameçon, les attaquants ne prennent pas la peine de supprimer des noms dans la liste. Une fois que vous avez été victime d'une attaque de phishing, vous restez une cible à tout jamais.
Pour les entreprises et les agences gouvernementales, la conservation des informations de contact dans les bases de données de phishing ajoute une couche de danger supplémentaire. Lorsqu'une personne change d'emploi, elle met sa nouvelle organisation en danger dans la mesure où elle ouvre un nouveau vecteur vers le réseau d'une nouvelle organisation.
Compte tenu de la simplicité et de l'efficacité du phishing, les prévisions pour l'avenir indiquent que les cyberattaquants continueront d'utiliser cette tactique car elle est efficace. Nous ne pouvons pas faire grand chose pour les empêcher d'essayer. Nous pouvons toutefois les empêcher de réussir.
Nous devons partir du principe que risque est permanent et que chaque personne constitue potentiellement un point d'entrée.
Au cours des 20 dernières années de ma carrière (dans le cadre de la National Security Agency et de l'United States Cyber Command, période pendant laquelle je me suis consacré à l'élaboration d'une technologie pour prévenir les attaques par phishing), j'ai constaté que le meilleur moyen d'atténuer l'impact des scénarios de phishing était d'adopter une stratégie de sécurité Zero Trust. En matière de sécurité réseau , les anciens systèmes informatiques faisaient confiance à tout le monde et à tout ce qui se trouvait au sein du réseau : une fois qu'une personne ou un appareil avait obtenu l'accès au réseau, la confiance lui était accordée par défaut.
Avec le modèle Zero Trust, vous ne faites confiance à personne, ni à rien du tout. Personne ne dispose d'un accès totalement libre, ni n'est jugé digne de confiance pour toutes les applications et ressources se trouvant au sein d'un réseau.
La meilleure méthode Zero Trust est multicouche. Par exemple, en première ligne de défense, vous pouvez de manière préventive traquer les infrastructures de phishing et bloquer les campagnes avant que les utilisateurs ne puissent ne serait-ce que cliquer sur des liens malveillants dans les textes ou les e-mails. Vous pouvez également avoir recours à une authentification multifacteur avec un dispositif de sécurité physique pour protéger les réseaux même si les attaquants ont accès aux noms d'utilisateurs et aux mots de passe. Vous pouvez appliquer le principe du moindre privilège pour garantir que les pirates qui ont passé les contrôles d'authentification multifacteur ne puissent accéder qu'à un nombre limité d'applications. Et vous pouvez partitionner le réseau avec une microsegmentation afin de contenir très rapidement la moindre violation.
Expérimentez en direct l'efficacité de la sécurité multicouche
Chez Cloudflare, nous avons déjoué une attaque par phishing (hameçonnage) l'année dernière à l'aide de l'authentification multifacteur (MFA) avec des clés de sécurité physiques dans le cadre d'une architecture Zero Trust multicouche. L'attaque a commencé lorsqu'un certain nombre de collaborateurs ont reçu un SMS qui les conduisait à une page de connexion Okta en apparence tout à fait authentique mais qui était conçue pour collecter les données d'identification. L'attaquant a tenté de se connecter aux systèmes Cloudflare à l'aide de ces données volées et de codes de mot de passe à usage unique (TOPT) ; l'attaque impliquait la participation des collaborateurs au processus d'authentification. Malheureusement pour l'attaquant, Cloudflare était précédemment passé du système TOPT à des clés physiques.
Si les clés physiques n'avaient pas été mises en place, d'autres mesures de sécurité auraient permis d'empêcher l'attaque d'atteindre son objectif mais, fort heureusement, la menace n'est pas allée si loin. Notre équipe d'intervention en cas d'incidents de sécurité a rapidement bloqué l'accès au domaine utilisé pour la page de connexion fictive et a interrompu les sessions actives et compromises à l'aide du service d'accès réseau Zero Trust. Si l'attaquant était parvenu à installer un logiciel malveillant, la sécurité de point de terminaison que nous utilisons aurait bloqué l'installation. Une telle stratégie multicouche garantit que même si un aspect de l'attaque aboutit, les conséquences de l'attaque elle-même seront moindres.
Prenez l'avantage
Les cyberattaques arrivent assez rapidement, mais si vous prenez le temps de regarder autour de vous, vous constatez qu'elles n'évoluent pas vraiment.
Comment les empêcher de réussir ?
D'abord, prévoyez des contrôles anti-phishing stricts. Les contrôles MFA n'ont pas tous le même degré d'efficacité, veillez à adopter une MFA résistant au phishing et des mesures d'application sélectives à l'aide de politiques reposant sur l'identité et le contexte. Imposez une authentification forte partout et pour tous les utilisateurs, toutes les applications, y compris pour les systèmes traditionnels et qui ne sont pas dans le web. Enfin, vérifiez que tout le monde figure dans « l'équipe cyber » en instaurant une culture de la paranoïa exempte de toute recherche de responsabilité qui permette de signaler toute activité suspecte de manière précoce et régulière.
Les moyens de prévenir le phishing sont faibles, mais les possibilités d'en prévenir les conséquences sont nombreuses. Avec une architecture Zero Trust, vous êtes certain qu'au prochain envoi d'un e-mail depuis la chaîne de montage de phishing vers votre adresse, il n'y aura aucune conséquence. Découvrez la plateforme Zero Trust Cloudflare multicouche.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Auteur
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Points clés
Cet article vous permettra de comprendre les points suivants :
Une fois que les attaquants ont obtenu vos informations personnelles, ils les conservent dans leur base de données indéfiniment
Les attaques par phishing (hameçonnage) font partie d'une chaîne de montage rudimentaire
Il y a peu de solutions pour éviter le phishing, mais il y en a beaucoup qui permettent d'en anticiper les dommages