Mi-octobre 2010, le laboratoire finlandais de recherches en sécurité informatique Stonesoft découvrait une nouvelle espèce de menace sur le Web : les AET (Advanced Evasion Techniques).
Cette catégorie de logiciels malveillants est capable de passer outre les logiciels de sécurité, dérober vos informations les plus sensibles, et partir sans laisser de traces. Cette technique avancée d’évasion permettrait de compromettre un grand nombre de technologies d’inspection de contenus et menace très sérieusement les systèmes de sécurité du monde entier. Des techniques d’évasion plus classiques sont déjà bien connues, mais celle-ci présente des spécificités particulières qui la rendent très dangereuse. Stonesoft défini les techniques d’évasion comme des « tactiques de contournement des dispositifs de sécurité ayant pour objectif de lancer un exploit, une attaque ou d’autres malwares et d’infecter un réseau ou un système, sans être détectées ».
Les AET sont en quelque sorte l’équivalent d’un passe-partout qui permet aux cybercriminels de pénétrer dans n’importe quel système vulnérable comme un « Enterprise Resources Planning » ou un « Customer Relationship Management ». Elles peuvent contourner les systèmes de sécurité réseau sans laisser de trace. En effet, les AET s’immiscent dans les réseaux en passant à travers les mailles des systèmes de prévention d’intrusion, en masquant des vers bien connus, comme Sasser et Conficker par exemple.
Les CERT (Computer Emergency Response Team) de plusieurs pays ont ensuite prévenu les vendeurs de solutions IPS (Système de Prévention des Intrusions) pour les informer du danger et qu’ils prennent les mesures nécessaires pour s’en protéger.
Fonctionnement
Les AET combinent et agencent de manière particulière des tentatives d’intrusion que les programmes d’IPS peuvent habituellement combattre facilement, et cette combinaison les rend plus difficilement détectables. Ces techniques ne font pas de dégâts mais donnent en revanche la capacité aux logiciels malveillants d’atteindre les systèmes visés.
Dans les tests réalisés par Stonesoft, un ensemble d’AET a été utilisé pour camoufler des vers Conficker et Sasser. Ils ont été envoyés contre 10 IPS reconnus, et aucun n’a pu détecter, à l’époque, la combinaison de techniques d’intrusion. L’attaque est parvenue à passer l’IPS en échappant à la prévention d’intrusion, donnant ainsi au vers Conficker la possibilité d’atteindre la cible de serveurs Windows, via une vulnérabilité non corrigée. Le test a utilisé le vers Conficker car il est bien connu et les outils de sécurité sont capables de le reconnaître, excepté s’il est masqué de la sorte.
Juha Kivikoski, COO chez Stonesoft déclare : « Beaucoup de facteurs nous poussent à croire que nous n’avons découvert que la partie émergée de l’iceberg. La nature dynamique et indétectable de ces techniques avancées d’évasions peut potentiellement bouleverser l’ensemble du paysage de la sécurité réseau. Le marché rentre désormais dans une course sans fin contre ce nouveau type de menaces avancées et il semblerait que seules les solutions dynamiques pourront tirer leur épingle du jeu. »
L’AET se camoufle et exploite une faille. Schématiquement, on peut le représenter comme un tuyau qui ferait passer un virus ou autre malware.
Pour pénétrer un système, l’AET fragmente un paquet. L’attaque est alors placée dans l’un des fragments et n’est pas détectée car elle n’est plus en paquet. Cela revient en quelques sortes à couper le virus en plusieurs morceaux. Aux débuts, les systèmes de protection n’étaient pas capables de détecter ces attaques fragmentées. Désormais, la plupart d’entre eux sont capables de les repérer et de les stopper. Les IPS peuvent maintenant détecter ces fragments et attendre la suite du paquet de fragments pour l’analyser entièrement.
Pour pénétrer dans le serveur d’une entreprise ou d’une institution, les AET doivent parvenir à traverser le firewall et l’IPS. Ensuite, elles doivent pénétrer les postes du réseau. Cela signifie qu’elles doivent détecter des failles dans chacune des solutions de sécurité qu’elles trouveront sur leur route (au moins trois).
Le 14 février 2011, Stonesoft annonçait avoir découvert encore 124 nouvelles AET, qui ont été livrées aux CERT afin de coordonner la gestion de ces menaces au niveau mondial.
Les risques pour les entreprises
Il ne faut pas noircir le tableau plus que de raison. Lorsque cette méthode à été découverte, les risques étaient très grands. Mais désormais, les IPS et les firewalls sont capables de se mettre à jour correctement pour se défendre.
Lorsque l’AET parvient à pénétrer sur le réseau et qu’il n’est plus capable de se protéger, des données critiques peuvent tomber dans les mains des pirates menant l’attaque. Cette menace de type évasion permet de s’introduire dans un système, de reproduire, de voler, de modifier des données ou de mettre en places des dispositifs malveillants tout en étant invisible.
Cette nouvelle catégorie de cyber-menace dont la méthode est encore assez peu connue, n’est en réalité pas un virus mais un « porteur de charge » transformant une attaque en action quasi-invisible et difficilement détectable.
Pour les entreprises, cela signifie qu’elles risquent de perdre des données confidentielles. On peut imaginer que les cybercriminels et cyber terroristes s’appuient sur ces AET pour mener des activités illégales dont les conséquences peuvent être dramatiques. En contournant les systèmes de sécurité réseau, ces techniques avancées d’évasion risquent d’avoir de lourdes conséquences pour les entreprises touchées, et la confidentialité des informations est fortement mise en péril.
Peut-on se protéger de l’indétectable ?
Comme votre antivirus protège votre ordinateur de tous les virus connus jusqu’à sa dernière mise à jour, les firewalls et IPS protègent les réseaux des dangers connus à un moment précis. Si une nouvelle menace apparait quelques temps après et qu’elle détecte une faille dans le réseau, elle parviendra à s’immiscer, sauf si les dernières mises à jour ont bien été effectuées.
Il existe plusieurs solutions préventives et complémentaires :
- La gestion centralisée
Dans une entreprise ou une administration, il est important que tous les équipements informatiques puissent être gérés simultanément. Cela permet de remettre à jour tous les postes en même temps et de ne pas laisser une AET profiter d’une faille sur un poste tandis qu’un autre aura été mis à jour quelques heures avant, par exemple. Toutes les protections informatiques sont valables à un instant « T » et les mises à jour permettent de combler des failles qu’un malware connu serait susceptible d’exploiter. Or, si un nouveau malware apparait, le temps que les éditeurs de solutions de sécurité ne réalisent une mise à jour efficace pour le stopper, elle peut exploiter une faille sur un firewall ou un IPS pour pénétrer les réseaux.
Les solutions équipées d’une administration centralisée permettent d’effectuer des mises à jour de façon continue et à tous les niveaux de l’architecture réseau. En effet, la mise à jour des systèmes et des outils informatiques est primordiale. Stonesoft assure que « si les machines et serveurs sont patchés, sécurisés, la technique d’évasion n’aura aucun effet. Même furtive, la charge pirate (injection SQL, virus,…) ne pourra fonctionner. »
Les entreprises et les institutions publiques doivent rapidement mettre en place un moyen de défense à la hauteur, c’est-à-dire s’équiper de systèmes de sécurité capables de se mettre à jour à distance et d’être administrés de manière centralisée.
Comme dans le domaine médical, quand il n’y a pas de traitement efficace, la meilleure solution est de traiter les symptômes. S’il n’y a pas de cure totalement efficace contre les AET, le management centralisé reste la meilleure défense pour sécuriser les réseaux et les données critiques qu’ils contiennent.
- Les mises à jour
Combler les failles de sécurité des firewalls, des IPS et des serveurs est primordial pour lutter contre les AET. Les mises à jour des équipements et des composants réseaux sont désormais capables d’empêcher les AET connus de passer les systèmes de protection. Bien entendu, les dernières AET créées restent capables de les pénétrer, c’est pourquoi les éditeurs sont sans arrêt dans une course contre la montre.
L’évolution constante, le dynamisme et les combinaisons des AET empêchent les signatures et le fingerprint, réponses habituelles aux exploits, de fonctionner contre elles.
La grande majorité des équipements de sécurité réseau dans le monde sont des solutions matérielles, qui peuvent difficilement se mettre à jour au même rythme que ces techniques d’évasion, capables de muter constamment.
Dans le cas des AET, où les techniques d’évasion ne sont pas détectées par les firewalls et IPS, il n’y a pas de « gilet pare-balles », de solution les empêchant de passer. Contre une menace dynamique comme celles-ci, les réseaux de protection de la sécurité doivent être continuellement mis à jour pour se maintenir au niveau de la menace. C’est une course contre la montre. L’unique recours est l’analyse détaillée des méthodes de l’attaque pour en comprendre les actions et le fonctionnement. Il est important d’identifier comment les attaques sont menées.
Pour l’instant, il n’y a pas de protection fiable à 100%. Aucun vendeur ne peut, à ce jour, se vanter d’avoir une protection entièrement efficace contre ce phénomène. La seule option est de se préparer à une réaction immédiate en cas d’attaque. Cela signifie que les protections doivent être capables de centraliser et de contrôler tous les dispositifs de réseau. Elles doivent pouvoir y remédier rapidement, se remettre à jour et configurer les dispositifs de leurs réseaux pour minimiser les risques. Il semblerait qu’après l’annonce de la découverte de ce danger, beaucoup d’éditeurs aient déclaré avoir corrigé les failles dans leurs produits. Or, il s’avère que les AET sont toujours capables de pénétrer ces systèmes. Une modification même minuscule d’une AET peut suffire à lui permettre de contourner les mécanismes de détection. Pour l’instant, les chercheurs affirment n’avoir découvert que la partie visible de l’iceberg.
- Les backups
Les sauvegardes de données permettent également de minimiser les risques de ces attaques pour que vous ne perdiez pas vos données. Enregistrement et archivage sont des solutions efficaces pour parer à la perte de données importantes. Les backups (sauvegardes) vous permettront de conserver une copie de vos informations si elles devaient tomber aux mains de pirates. Cependant la sauvegarde ne les empêchera pas de pénétrer vos systèmes et de prendre connaissance de vos documents sensibles ou confidentiels.
La menace que représentent les techniques d’évasion avancées est telle que les recherches récentes sur le sujet en ont fait un sujet de préoccupation majeur. Les éditeurs de sécurité doivent donc désormais dédier du temps et des ressources à la recherche d’une solution pour contrer ce phénomène. Il représente en effet une véritable menace pour la sécurité des infrastructures réseau protégeant les gouvernements, administrations et entreprises.