11 février 2025

Sensibilisation aux Advanced Evasion Techniques : Cyberattaques; rien ne sera plus comme avant


De notre envoyé spécial à Paris Abderrafiq Khenifsa
 
Ce 5 avril s’est tenue une conférence sur les AET organisée conjointement par Stonesoft, fournisseur de solutions de sécurité réseaux intégrées, le cabinet d’études et de conseils Gartner ainsi que la radio et télévision BFM Business. Avec pour intitulé : « Cyber-Criminalité : Leurs nouvelles techniques – Advanced Evasion Techniques, Il est temps d’en parler ! ». Pour mieux comprendre les enjeux, les AET constituent, selon les termes de Stonesoft, « de nouvelles tactiques d’évasion qui peuvent être modifiées ou combinées afin de passer outre la détection par les systèmes de sécurité »
 
A la Défense, à Paris, s’est tenue la première conférence francophone suivie d’un débat pour faire la lumière sur ces nouvelles menaces que sont les AET. Stonesoft, l’éditeur finlandais, a été le premier dans le monde à avoir dévoilé les Advanced Evasion Techniques (AET) qui sont des méthodes de contournement des dispositifs de sécurité réseaux combinables à l’infini. C’était le 18 octobre 2010. Depuis cette date, un débat est né au sein de la communauté de la sécurité informatique. Gartner, dans une note de recherche (du 29 novembre 2010), a accentué la chose et permis de comprendre que ces menaces (AET) sont désormais à prendre en compte au même titre que les virus ou le spam.
La genèse des AET
En 2010, dans le cadre de tests de ses propres solutions de sécurité réseaux, Stonesoft mettait en exergue ce qui allait s’appeler les AET pour Advanced Evasion Techniques, en dévoilant 23 techniques qui allaient devenir, en avril 2011, 124. La dangerosité des AET réside dans le fait que ce sont des méthodes de transport de menaces indétectables par les fire-wall et les IPS. Rien que cela ! Pour Juha Kivikoski, COO chez Stonesoft, « les AET sont l’équivalent d’une clef passe-partout » qui permettra aux cybercriminels d’entrer dans n’importe quel serveur et de se servir. De plus, ajoute-t-il, « les AET sont capables de contourner les systèmes de sécurité réseau sans laisser aucune trace ».
Ce débat a passionné plus de 150 personnes venues d’horizons très différents, pour qui l’information représente un actif qu’il convient de protéger. Elles se sont déplacées pour écouter religieusement Bob Walder , expert et représentant de Gartner, Juha Kivikoski, COO de Stonesoft, Pierre Polette, président de la société LEXSI, Nicolas Arpagian, écrivain, rédacteur en chef de la revue Prospective Stratégique et expert en cybersécurité.
La matinée a été l’occasion pour les co-organisateurs de donner leur point de vue et leur vision sur ces nouvelles manières de prendre en compte ces nouvelles techniques de menaces informatiques. Ce sera un Bob Walder spécialiste en sécurité réseau – plus de 28 ans dans l’IT, dont 18 ans consacrés exclusivement à la sécurité informatique- qui rappelle les bonnes pratiques à adopter avant de choisir son équipement réseau. Il dira, entre autres, qu’« il est désormais essentiel de questionner le constructeur ou l’éditeur sur sa capacité ou non à traiter les AET », non sans ajouter que les clients se doivent également de mener des tests rigoureux sur leurs équipements dans leurs propres environnements et non chez l’éditeur. Tout cela permet, dit-il, «  de tester les équipements dans son environnement ». Il poursuit en affirmant ne pas se « fier aux documentations des éditeurs », résumant son intervention en disant qu’« il n’y a pas de meilleur test que dans son propre environnement avec ses propres équipements». De plus, il préconise fortement de mettre en place des testlabs -laboratoires de tests- dans les entreprises en précisant que « cela ne coûte pas excessivement cher ».
Rappelant que Bob Walder est directeur de recherche de l’équipe ITL Systems Security and Risks (protection des infrastructures). Il maîtrise l’ensemble des domaines de la protection des informations, de la sécurité périmétrique au poste de travail. Il a notamment participé au déploiement de politiques de sécurité pour de très grandes entreprises.
Pour Juha Kivikoski, COO de Stonesoft, il dira que l’éditeur finlandais a mis en place un outil destiné à tester ses propres solutions de sécurité mais il mettra l’accent sur la quantité astronomique de combinaisons qui existent. D’ailleurs, au cours du débat de l’après-midi, Juha Kivikoski dira que « les combinaisons de tactiques d’évasion possibles sont si nombreuses qu’il n’est pas possible de toutes les tester » et il ajoutera avec humilité que « Stonesoft est un éditeur de sécurité réseau qui reconnaît les limites de sa profession » tout en demandant à ce qu’il y ait un organisme qui centralise l’ensemble des techniques découvertes pour que tous les éditeurs puissent s’en prémunir.
L’initiative de Stonesoft, pour un sujet aussi complexe que les AET et relativement ignoré, est d’impliquer l’ensemble des autres éditeurs et fabricants afin de coordonner les efforts avec pour finalité de mettre les données sensibles des utilisateurs à l’abri, même si ensuite, c’est à chacun de tester ses produits afin de vérifier qu’ils détectent ces menaces. Ces techniques de contournement sont connues et identifiées depuis les années 1990 et il n’existe, à ce jour, aucune réelle solution imparable contre les AET. Il est seulement possible de minimiser les risques d’attaque.
Solutions probables
Le débat de l’après-midi va être axé sur « Que penser des AET et comment traiter ce phénomène ? ». Furtivement, les attaques de Bercy (ministère français des Finances) et RSA revienne sur le devant de la scène sans avoir de réponses claires. Tous parlent des AET mais personne ne confirme. Par contre, deux champs s’interrogent et s’entrechoquent sur la question de la nécessité de recourir à des équipements de fournisseurs différents, pratique que défend Juha Kivikosky en mettant en avant le professionnalisme du fabricant dans son domaine mais mise en cause par Bob Walder car, considère-t-il, difficile à mettre en œuvre dans une entreprise car il faut pour cela gérer plusieurs fournisseurs, ce qui n’est pas le métier du client. Pour le responsable de Gartner, l’autre point, et non des moindre, est la formation des utilisateurs afin de reconnaître les menaces et éviter de les propager involontairement comme l’utilisation systématique de clés USB ou d’autres dispositifs numériques à la mode qui peuvent être infectés.
Nicolas Arpagian, plus pragmatique, insiste sur la nécessité d’instaurer des processus ou une politique de sécurité et parle même de doctrine de cybersécurité car, enchaîne-t-il, « la sécurité des systèmes d’information doit s’imposer à tous » faisant peut-être référence à la décision à l’encontre du président Barack H. Obama qui souhaitait conserver son smartphone personnel une fois arrivé à la Maison-Blanche.
D’ailleurs, tous les experts présents au débat s’accordent sur la réalité et la dangerosité de ces menaces car les cyberattaques ne sont plus de l’ordre du fantasme et l’actualité récente en témoigne. Comme le rappelle Nicolas Arpagian, « une cyberattaque réussie est en principe incolore pour la victime » car les cyberattaques « se démocratisent » et peuvent venir de n’importe quelle partie du monde d’autant plus qu’avec les AET, elles sont  invisibles ». Le risque est là.
Pour sa part, Pierre Polette, président du groupe Lexsi, créé par Joël Rivière, un gendarme et ancien directeur du département informatique de l’Institut de recherche criminelle de la Gendarmerie française, et fondateur de XS Pôle Sécurité, cabinet de conseil indépendant spécialisé dans la sécurité des systèmes -actuellement acquis à 100%, en février 2007, par le groupe Lexsi-, a beaucoup insisté sur l’audit comme pierre angulaire d’une politique de sécurité informatique. Il rappelle en outre que l’outil technique n’est pas tout, le social engineering occupe souvent une place prépondérante dans le déroulement de l’attaque comme ce fut le cas dans la plupart des APT – Advanced Persistant Threats ou menaces persistantes avancées- qui ont été médiatisées ces derniers temps.
Pour une entreprise ou une entité, le cybercriminel va essayer de trouver le maillon faible, et « il y en aura toujours un même si l’entreprise est bien sécurisée et sensibilisée, l’erreur peut parfois venir de l’extérieur : sous-traitant … », souligne Pierre Polette.
« Les entités doivent prendre conscience que la menace est protéiforme, et que la défense ne doit donc pas être uniforme », souligne Nicolas Arpagian, posant par là même une question très importante : comment alors se protéger ? Chacun y va de sa solution mais tous convergent vers la solution qui peut être mise en œuvre et qui doit être non seulement capable de se mettre à jour à distance et en online, ce qui met sur le carreau plusieurs fabricants de firewall dus à leur processus de fabrication basée sur les Asics, mais aussi de multiplier les blocages. Nicolas Arpagian ajoute la notion de cartographie du système tout en rajoutant que « l’entreprise va devoir se rendre compte que la sécurité est stratégique et qu’il faille y consacrer des moyens et de l’expertise et ce, même pour les petites PME ».
De la sécurité informatique, nous sommes passés à la sécurité de l’information des entreprises et conséquemment nous avons vu naître la notion de « patrimoine informationnel » et de la « protection dynamique ». Il est loin le temps où la sécurité informatique était pour la grande majorité des professionnels un sujet technique pour techniciens avec des questions d’antivirus statiques ou de signature, la question a désormais radicalement changé de dimension. La seule limite en matière de cyberattaque est celle de l’imagination.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *