US et UK accusent la Russie d’une piratage massif de routeurs

0

Le Royaume-Uni et les Etats-Unis rapportent que des équipements réseaux sur leur sol seraient massivement compromis et que cette campagne serait, selon eux, à mettre à l’initiative de la Russie. Les allégations concernant ce type d’attaques, potentiellement menées en vue de préparer de futures cyberattaques à plus grande échelle, deviennent de plus en plus récurrentes. Même s’il est évidemment très compliqué à ce stade de confirmer ces attaques, et encore plus difficile de les attribuer, il est clair que les entreprises devraient prendre la mesure de ces risques et avoir un autre regard sur la façon dont elles sécurisent leur infrastructure réseau.

Lors d’une prise de parole le 17 avril, Guillaume Poupard, Directeur de l’ANSSI, n’a d’ailleurs pas dit le contraire. Pour lui en effet, les réseaux sensibles français sont ciblés par des « attaquants de haut niveau », qui ont déjà pénétré ces réseaux pour les observer, les cartographier, etc. Pour lui, il est même difficile d’identifier leurs objectifs : « renseignement, sabotage, ou plus probablement « préparation de futures conflits ».

Comment répondre à ce type de menaces, récurrentes, et hyper sophistiquées, émanant potentiellement d’Etats ?

Tout d’abord les organisations ont besoin d’un changement fondamental dans leur façon de penser, car la façon de penser la sécurité aujourd’hui est fondamentalement défectueuse. La notion de périmètre défini ne fonctionne plus – la « surface d’attaque » croît de façon exponentielle grâce à l’utilisation croissante de l’informatique de l’Internet des Objets, des mobiles et du BYOD, et des chaînes d’approvisionnement numériques, qui fournissent aux pirates une myriade de nouveaux points d’entrée pour commettre leurs agressions. La dure réalité est que la preuve fréquente de failles montre que même les organisations disposant de ressources suffisantes peuvent être compromises et le seront, car chaque défense est imparfaite et quelque chose réussit toujours finalement à passer à travers.

Nous devons rapidement adopter une mentalité « je suis déjà compromis » et mettre en place des capacités de sécurité qui non seulement bloquent les menaces connues, mais qui sont assez intelligentes pour détecter et répondre en temps réel aux menaces actives qui ont vaincu ou contourné les contrôles défensifs et ont gagné l’accès et la persistance au sein de l’organisation. Ce n’est qu’à ce moment-là que nous aurons la possibilité de devancer les attaques avant qu’elles ne deviennent des incidents critiques sur le plan de la sécurité. Face à la vitesse sans cesse croissante des attaques, l’humain est trop limité pour constituer une barrière suffisante. En effet, les analystes ne sont pas en mesure d’opérer à l’échelle, à la vitesse et à l’efficacité requises. C’est aujourd’hui l’une des grandes révolutions offertes par l’intelligence artificielle : gérer de manière automatisée cette chasse aux menaces, pour permettre aux analystes de sécurité de donner la priorité à la réponse aux menaces réelles.

Les cas des compromissions de routeurs nécessitent également un changement d’approche au sein des entreprises. Il est en effet grand temps de fermer la porte, ou du moins de ne plus la laisser grande ouverte ! Aucun logiciel n’est parfait, il est donc dans un premier temps impératif de s’assurer d’être à jour avec ses mises à jour logicielles et les correctifs pour son infrastructure réseau. Il faut ensuite s’assurer que les interfaces de gestion de ses équipements ne sont pas exposées et que les informations d’identification par défaut de l’administrateur ont été changés. Pour les dispositifs périmétriques avec connectivité Internet, c’est doublement important.  Cela peut sembler être un conseil anodin mais le mois dernier, les paramètres par défaut de certains commutateurs Cisco ont permis d’identifier plus de 168 000 appareils exposés à Internet comme vulnérables à l’exécution illicite de commandes à distance via un protocole d’administration.

Il se peut également que le firmware de certains systèmes ne soit pas suffisamment robuste. Les attaquants disposant de connaissances et de ressources avancées, cherchent généralement à compromettre le firmware sous-jacent des équipements qu’ils ciblent. Même en disposant de solides contrôles de sécurité au niveau du système d’exploitation, certains « rootkits » ne seront pas détectées. Cependant, avec les progrès récents dans la détection des menaces comportementales basées sur l’intelligence artificielle, nous pouvons maintenant repérer en temps réel les signaux symptomatiques des machines infectées et les mouvements, même très subtils, des attaquants qui se sont installés.

La menace est bien réelle, personne ne doit désormais l’ignorer. Bien qu’inquiétant, le discours du Directeur de l’ANSSI est en ce sens une communication importante pour permettre une réelle prise de conscience. Celle-ci doit ensuite s’accompagner de mesures fortes, d’un changement de mentalité au sein des organisations. Technologiquement, l’intelligence artificielle entraine une véritable révolution dans le monde de la cybersécurité. Grâce à des algorithmes mathématiques, il est désormais possible de détecter en temps réel la présence de cyber attaquants sur un réseau. Auparavant ces opérations de détection étaient très longues (plusieurs mois) et nécessitaient un grand nombre d’experts (ou de la chance).

Pour conclure sur une note positive, nous pouvons dire que certes les attaquants gagnent en compétences mais la défense elle aussi progresse énormément. Pour que le niveau de sécurité des entreprises progresse, il faut qu’elles se donnent les moyens d’engager des transformations dans leur façon de penser la cybersécurité et dans les technologies nouvelles à mettre en œuvre.

About Author

Christophe Jolly

Directeur France de Vectra Networks, éditeur d’une plateforme de gestion automatisée de la menace utilisant l’intelligence artificielle.

Leave A Reply