Toutes les sociétés de sécurité ne vendent pas forcément du logiciel de sécurité. Dans le paysage actuel, un nombre croissant d’organisations font appel à des prestataires de service capables de tester la sécurité sous différents aspects ou de vérifier sous couverture quelles données ont déjà fuité.
Qu’advient-il de vos données une fois qu’elles ont été dérobées ? Data News pourrait publier chaque semaine des récits de fuites de données ou de bases de données volées et qui se retrouvent quelque part en ligne. Vous pouvez vérifier vous-même si votre adresse ne figure pas dans l’une de ces bases de données, notamment sur un site comme haveibeenpwned.com, où le chercheur en sécurité Troy Hunt collecte les principales bases de données fuitées. Pour ce faire, il se base en grande partie sur des ‘data dumps’, entendez de vastes fichiers de données disparates qui sont déposées en ligne par des pirates. Mais un tel ‘data dump’ n’est pas une finalité et avant d’en arriver là, vos données ont souvent déjà parcouru un long chemin, explique Ted Ross. ” Souvent, de un à deux ans s’écoulent entre le vol initial et ce ‘data dump’. Durant cette période, d’ingénieux criminels ont déjà eu accès à ces données. ”
Un ‘bon’ pirate se cache et se promène durant des années.
Ross est CEO et fondateur de SpyCloud, une entreprise qui vend ses services en qualité de détective en ligne afin de permettre aux entreprises de savoir si leurs données se trouvent quelque part en ligne. Data News l’a rencontré durant la conférence NetEvents de San Francisco. ” Nous bâtissons des profils sous couverture que nous utilisons pour communiquer avec de véritables criminels et ainsi collecter des données qu’ils ont volées. Ce faisant, nous pouvons indiquer à nos clients quels mots de passe ils doivent modifier. L’objectif est d’utiliser un tel profil pour forger une réputation d’expert afin que des criminels nous abordent lorsqu’ils ont besoin d’aide. Cela fait 3 ans que nous travaillons et nous avons rassemblé dans notre base de données quelque 30.000 fuites de données. Votre identité en ligne s’y trouve probablement. ”
En somme, il est relativement logique qu’un certain laps de temps s’écoule avant que des données volées ne soient diffusées. En effet, pourquoi se donner la peine de pénétrer un réseau ou de réaliser un ‘exploit’ sur un site Web pour ensuite lancer les données à bas prix sur le ‘dark Web’. ” Un ‘bon’ pirate se cache et se promène durant des années, explique Jan Guldentops, consultant et chercheur en sécurité. C’est ainsi que les pirates de Belgacom sont restés durant 5 ans dans les plateformes de l’opérateur. ” Il fait en effet référence au piratage révélé en 2013 qui impliquait probablement des espions britanniques ayant pénétré les serveurs de Belgacom à l’époque.
Pourtant, la plupart des fuites ne sont pas le fait d’espions, mais de ‘simples’ criminels. ” Les cybercriminels dont nous parlons sont des groupes organisés “, confirme Thomas Edwards, agent spécial des services secrets américains du Homeland Security. Ce département est connu du grand public à travers les films hollywoodiens dans lesquels le président doit être défendu, mais intervient également dans des affaires de délits financiers de type cyber. ” Qu’il s’agisse du secteur public ou privé, ces personnes le font pour l’argent, confirme Edwards. Elles recherchent des informations personnelles identifiables qu’elles peuvent monnayer. Par ailleurs, elles recherchent des ‘credentials’ qui leur permettent notamment de pénétrer des serveurs cloud et d’y dérober des données qui seront ensuite revendues.
Vol d’identifiants
Supposons qu’un groupe organisé pénètre votre messagerie électronique (souvent sans que vous ne vous en aperceviez) et subtilise de nombreux ‘log-ins’. Que faire ? ” Souvent, les gens pensent qu’avec ces informations, ces personnes vont prendre la main sur votre compte, mais c’est sous-estimer leur créativité, précise Ted Ross. Lorsque des criminels dérobent des identifiants, ils prennent non seulement les courriels et les mots de passe, mais aussi tout ce qu’ils trouvent. Il s’agit notamment d’anciens mots de passe, d’adresses IP, etc. Ceux-ci sont ensuite répartis entre les membres de l’équipe pour être monétisés. ”
Cette opération se fait par étapes, selon l’importance des personnes. ” Dans un premier temps, les pirates s’adressent à des personnes de leur entourage et les infos seront utilisées pour des attaques ciblées. ” C’est ainsi qu’ils essaieront par exemple d’accéder au compte d’un CIO pour réaliser des transferts d’argent avec son identité. En l’occurrence, Ross souligne qu’il ne s’agit pas seulement du compte actuel du CIO auquel le pirate va s’intéresser. Ainsi, avec un ancien mot de passe, ils pourront peut-être notamment accéder à un ancien compte Yahoo pour y trouver des informations qui serviront ensuite à faire de l’ingénierie sociale. Ou ils pourront en apprendre davantage sur la famille du CIO et passer par elle pour atteindre leur cible. ” Les comptes professionnels sont souvent bien protégés. Mais ces personnes utilisent aussi leur compte pour communiquer avec leur partenaire ou leurs enfants, et ces comptes sont souvent moins bien protégés. ”
Toutefois, ce type d’enquête approfondie n’est pas toujours mise en oeuvre. ” Tout le reste se fait par des outils automatisés “, poursuit Ross. Et de faire notamment référence à des attaques portant sur de très gros volumes de mots de passe utilisés pour pénétrer des systèmes. ” Les criminels vont tenter de pénétrer une organisation via un ‘botnet’ et si ce ‘botnet’ est détecté, ils essayeront autre chose jusqu’à ce qu’ils passent totalement inaperçus, après quoi ils utiliseront les mots de passe dérobés “, remarque encore Ross.
En général, les attaques ciblées sont toutefois nettement plus dangereuses, poursuit Ross. ” L’un de nos clients est un organisme financier qui utilise notamment des cryptomonnaies. En fait, 10% des attaques sur cet organisme sont ciblées et se traduisent dans 80% des cas par un vol de biens. ”
Ross estime qu’une organisation criminelle conserve en moyenne les données durant 500 jours environ avant de les libérer sur l’un ou l’autre forum pour permettre à la grande communauté des pirates de les exploiter à leur guise. ” Ces gens ne travaillent pas de manière sophistiquée, mais sont créatifs “, considère Ross. En outre, ces données sont souvent consolidées dans une base de données avant leur diffusion à grande échelle. C’est alors que le sujet est le plus largement évoqué dans la presse, ne serait-ce que parce que le ‘dark Web’ est consulté par les services de police, les sociétés de sécurité et les chercheurs.
Qui teste les testeurs ?
L’une des entreprises remarquables à NetEvents est NSS Labs, qui vend de la cybersécurité, mais sous une forme particulière. ” Nous testons les logiciels de sécurité pour nos clients. Ceux-ci sont en général des sociétés qui utilisent beaucoup de sécurité et qui veulent savoir ce que font exactement les produits “, explique Vikram Pathak, fondateur de NSS Labs, qui ne parle plutôt de ‘benchmarking’ que de ‘pentesting’. ” Nous employons beaucoup de bons pirates. Donnez-moi le nom d’un produit et nous réussirons à le pénétrer. Avec le ‘pentesting’, il suffit de trouver une seule façon de s’introduire. Or notre but est de faire en sorte que le client n’utilise pas son produit dans une situation où celui-ci serait vulnérable. Les spécialistes en sécurité ne vous disent pas ce qu’ils ne font pas. Parfois, il suffit de désactiver une fonction pour paralyser l’ensemble du processus. ” Exemple classique : la liste des exceptions et portes qui sont ouvertes sur un pare-feu pour faciliter la communication. Or plus il y a d’exceptions, plus les possibilités de vulnérabilité sont nombreuses. L’objectif est donc de tester le logiciel en situation réelle.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici