En matière de cybersécurité la compréhension de la kill chain est primordiale pour appréhender les scénarios d’attaque. Aujourd’hui, nombre de DSI se reposent encore sur le pare-feu (firewall) afin de prévenir les cyberattaques. Mais est-ce encore suffisant ? Comment protéger efficacement son SI ? Nous allons voir dans cet article comment se déroule généralement une cyberattaque, ses cibles et ses mécanismes.
Nous avons posé ces questions à Jean-François Bérenguer, notre Microsoft MVP et directeur des opérations de notre agence Grand Sud. Et pour y répondre, il convient d’abord de comprendre comment se déroule, en règle générale, une cyberattaque.
JFB. Pour pouvoir se protéger son système d’information, il est important de savoir ce qu’on a à protéger et de savoir comment le protéger, mais surtout aussi savoir de quoi il faut se protéger. C’est, dans le domaine de la sécurité, le plus important.
On va décortiquer une chaine d’attaques, une chaîne classique parce qu’en définitive, quand on parle d’attaques sur le système d’information, ce n’est pas une opération, mais un enchaînement d’opérations qui vont partir très certainement d’un utilisateur jusqu’à aboutir à la prise du contrôle du domaine et l’exfiltration des données. Mais dans tous ces scénarios, le firewall intervient très peu.
Cela veut dire que quand on souhaite reposer sa stratégie de sécurité uniquement sur du firewall, on fait ce qu’on appelle de la défense de périmètre. Aujourd’hui, c’est loin d’être suffisant et c’est d’autant plus du tout ce que l’on va viser.
Phase 1. L’infiltration du système d’information, le début de la kill chain
Lorsque l’on regarde une attaque classique sur un système d’information, bien souvent, elle commence par un flux entrant. Ce flux entrant va atteindre un utilisateur, via le phishing par exemple, qui représentait 80% des cyberattaques sur les entreprises en 2020. C’est un des vecteurs classiques d’amorce d’attaques sur les systèmes d’information. Ça peut être aussi un mail avec une pièce jointe que va ouvrir l’utilisateur. Il est très probable qu’il y ait une macro-commande à l’intérieur qui va exécuter du code malveillant sur le poste. Il se peut aussi que l’utilisateur clique sur une URL. La kill chain commence ici, avec l’infiltration.
Ensuite, bien souvent, du code malveillant va être introduit. Si l’attaque a démarré par du phishing, l’attaquant a récupéré les identifiants de l’utilisateur et prend ainsi contrôle de son poste et peut commencer à installer ce qu’il souhaite.
Si c’est une pièce jointe avec une macro-commande, un bout de code va venir s’installer. Ensuite, un logiciel installé sur le poste va essayer de contacter ce qu’on appelle un C2. Le C2, c’est un pool de serveurs, quelque part sur le net, qui va entrer en communication avec le poste de manière à lui envoyer des instructions et télécharger bon nombre de logiciels supplémentaires. Ensuite, une fois tous les outils installés sur le poste, l’équipe de hack va pouvoir commencer à dérouler le scénario.
L’enjeu pour les DSI va être d’anticiper et de couper les attaques le plus tôt possible. C’est là que le firewall va pouvoir entrer en jeu, mais les équipes de hack vont, par exemple, utiliser des noms de domaines connus avec une très bonne réputation de manière à passer tout ce qui est firewall et proxy.
Phase 2. L’exécution de commandes pour sonder le SI
On a donc un poste compromis, avec un certain nombre de logiciels installés. L’équipe de hack prend le contrôle du poste et c’est comme si elle était maintenant assise derrière le bureau. Elle va pouvoir lancer toutes les commandes qu’elle souhaite pour dérouler son attaque.
En tant que hacker, la première chose que je vais essayer de compromettre, c’est le compte qui est sur le poste, si je ne l’ai pas déjà fait avec du phishing. À partir de là, l’équipe de hack pourra lancer des commandes pour collecter les données et découvrir le réseau sur lequel elle est. Ce sont des commandes qui ne nécessitent aucun privilège sur le système d’information, donc tout utilisateur peut les lancer. Elles vont permettre de connaître, par exemple, le plan d’adressage IP, le nom du ou des contrôleurs de domaine, mais aussi les groupes de l’AD (Active Directory).
Ces commandes vont ainsi permettre de savoir qui est admin du domaine et d’obtenir des informations sur la cartographie du réseau.
Phase 3. Le mouvement latéral
Vient ensuite le mouvement latéral. C’est aujourd’hui le passage obligé pour tous les scénarios d’attaque. Pour pouvoir se défendre, il va donc être important de savoir ce que ce qu’est un mouvement latéral et les techniques utilisées par un attaquant pour faire du mouvement latéral.
Le mouvement latéral, c’est une technique qui va permettre à une équipe de hack depuis un poste et un compte utilisateur, de pouvoir rebondir sur d’autres entités de manière à essayer de tomber sur des entités à privilèges plus élevés, d’identifier sur quelle machine ces comptes ont été identifiés et ainsi de suite, jusqu’à arriver à un niveau de privilèges le plus élevé possible, de type « administrateur du domaine ».
Des outils comme Microsoft Defender for Identity vont, par exemple, permettre de repérer les chemins possibles pour des mouvements latéraux pour prendre le contrôle d’un compte de type admin du domaine.
Phase 4. La compromission d’un compte à fort privilège et l’accès aux données
Une fois que le mouvement latéral réussi, l’équipe de hack pourra pratiquer l’escalade vers des comptes à privilèges plus élevés et rebondir ainsi de compte en compte jusqu’à arriver à un compte qui a un très fort privilège. Il sera alors possible de compromettre le domaine, accéder à des données sensibles pour ensuite exfiltrer ces données.
C’est donc ce qu’on appelle la kill chain. C’est un scénario d’attaque assez classique qui va d’abord permettre d’avoir le contrôle sur le domaine et de faire de l’exploration des données, voire de les chiffrer.
La gestion des risques internes, l’angle complémentaire
Un autre scénario à ne pas oublier concerne les risques internes.
Il faut alors se pencher sur l’attitude des collaborateur·ices de l’entreprise. Diverses raisons, peuvent les amener à compromettre le système d’information de leur structure : par distraction, par négligence, mais aussi par mécontentement, stress, désenchantement ou dans la préparation de leur départ pour une autre organisation. Une personne peut ainsi avoir été compromise et faciliter la pénétration du système d’information depuis l’extérieur.
Il faut donc connaître aussi ces différents comportements pour gérer les risques internes, parce que l’utilisateur a potentiellement accès à des données sensibles qui peuvent fuiter sans qu’on en maîtrise la destinée.
Il va ainsi falloir être capable de détecter tout ce qui relève d’une activité anormale par rapport aux utilisateur·ices : des tentatives d’accès à des dossiers auxquels l’utilisateur·ice n’a pas l’habitude d’accéder, du téléchargement en masse, de la suppression en masse de documents dans le OneDrive, voire la création de backdoor au système d’information.
Les bonnes pratiques
- L’isolation des comptes. Dans un environnement hybride avec Office 365, l’organisation dispose d’un annuaire local et d’un annuaire Azure Active Directory. Les comptes à privilèges ne doivent pas être synchronisés pour éviter le mouvement latéral entre les deux composantes de l’environnement.
- Le principe du moindre privilège. On ne donne des privilèges à des utilisateur·ices que pour faire ce dont ils ont strictement besoin.
- Bannir les connexions admins sur les postes des utilisateur·ices. C’est un des scénarios de base pour un mouvement latéral, en récupérant le token de l’admin. En un quart d’heure, on peut alors prendre le contrôle du SI.
- Écrire les règles de sécurité, les diffuser et en contrôler la conformité.
- Mettre en place les moyens humains et les processus pour assurer des contrôles réguliers.
- Mettre en place l’authentification forte.
- S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque.
- Se tenir informé·e et se former.
Les solutions Microsoft pour protéger son SI tout au long de la kill chain
- La suite Defender, notamment :
- Microsoft Defender for Office 365
- Microsoft Defender for Endpoints
- Microsoft Defender for Identity
- Azure AD Identity Protection
- Microsoft Cloud App Security
- Le SIEM Azure Sentinel, pour collecter les logs du cloud et on-premises et identifier si un séquencement de tâches correspond à une attaque