On Oz
Espionnage : les nouveaux moyens des hackers pour infiltrer les entreprises
04/11/2018

Espionnage : les nouveaux moyens des hackers pour infiltrer les entreprises

Les hackers privilégient désormais l’usage des protocoles et des commandes disponibles dans les systèmes ciblés, plus discrets que l’infection par un malware espion. Ils n’attaquent plus directement les établissements qu’ils visent, mais infiltrent d’abord leurs partenaires et peuvent néanmoins remonter jusqu’aux chaines de production car tout est interconnecté. Au final, cela signifie pour les entreprises que leur surface d’attaque a augmenté.

Les hackers sont désormais bien plus discrets pour infiltrer les réseaux des entreprises. C’est ce que révèle le rapport américain TA18-074A du FBI et du Department Of Home Security qui analyse l’infiltration récente de plusieurs centrales énergétiques par des groupes de pirates que l’on suppose russes. D’après celui-ci, les pirates ont réussi à remonter jusqu’aux consoles SCADA qui pilotent les équipements industriels sans jamais utiliser de malwares. « Les cybercriminels se servent à présent des outils et des protocoles des machines présentes sur le réseau-cible. Cela leur demande un effort de ciblage supplémentaire mais s’avère plus discret qu’un logiciel espion », lance Grégory Cardiet, expert en IA chez Vectra.

 

Il cite ainsi des campagnes de spear-phishing avec des pièces attachées inoffensives mais qui, lorsqu’on les ouvre, demandent aux machines des destinataires de télécharger au protocole SMB des éléments depuis les serveurs des assaillants, laissant au passage l’empreinte de leur identifiant de connexion Windows. Celui-ci permet aux hackers de pénétrer une machine puis de rebondir de postes en postes et de serveurs en serveurs en se créant des comptes administrateurs et en déclenchant des processus distants, notamment grâce à la commande PSexec de Windows.

 

« Surtout, pour passer inaperçus, les hackers n’attaquent plus directement l’entreprise qu’ils visent, mais l’un de ses partenaires moins protégé, voire remontent en passant par un concurrent dont on sait qu’il est sur le point de se faire racheter. Ainsi, les pirates sont directement intégrés au réseau le jour de la fusion », analyse Cyrille Badeau, Vice Président Europe chez ThreatQuotient.

 

Pour Frédéric Julhes, à la tête des programmes chez Airbus Cybersecurity, ce type d’infiltration est devenu possible jusque chez les industriels car « nous sommes passés d’une situation où tout était segmenté à une situation où tout est interconnecté. Cela signifie que la surface d’attaque a augmenté au-delà du SI. Les entreprises doivent sécuriser aussi les produits qu’elles livrent et les industriels doivent considérer qu’une attaque sur un segment de la chaîne peut désormais impacter toute la chaîne », explique-t-il.

 

A ce propos, Ivan Rogissart, Directeur avant-ventes Europe du Sud pour Zscaler, pointe la complexité de sécuriser l’infrastructure réseau qui interconnecte les systèmes. « Ce sont ses protocoles qui sont attaqués. La solution serait donc de demander aux utilisateurs et même aux partenaires de s’authentifier via un système de plus haut niveau, de sorte à rendre inopérants les flux classiques de l’administration système », dit-il.

Nos autres billets d'humeur...
04/11/2018

La sécurité comme un accélérateur de business

Les systèmes d’authentification modernes simplifient la fusion informatique lors d’un rachat. La nouvelle génération de firewall virtualisés rend possible le déploiement d’appli...

04/11/2018

RSSI : le challenge de mieux anticiper pour moins subir

Le périmètre à sécuriser s’étend au-delà de l’IT et nécessite de travailler avec des partenaires qui connaissent mieux les métiers de l’entreprise. Les SOAR sont de nouveaux log...

04/11/2018

Multi-Cloud : le défi de rester protégé quand les données s’éparpillent

Les données et les applications migrées en Cloud ne bénéficiant plus des remparts physiques des serveurs, les entreprises doivent déployer des règles de sécurité plus élaborées....

04/11/2018

Intelligence artificielle : le nouveau moyen de détecter l’indétectable

Les dispositifs de protection classiques, reposant sur la reconnaissance d’empreintes connues, sont inopérants face aux nouvelles générations de malwares. Grâce à leur moteur de...

04/11/2018

Ransomwares, cryptojacking : les malwares atteignent une efficacité inédite

Les pirates ne frappent plus au hasard mais visent les meilleurs gains et les attaques qui peuvent rester discrètes le plus longtemps possible. Face à la sophistication des mena...

04/11/2018

Fuites de données : comment y faire face ?

Les DSI et les RSSI naviguent en plein brouillard en ce qui concerne la sécurité intérieure, à cause d’un périmètre utilisateur de plus en plus complexe. Fouiner sur les espaces...

04/11/2018

Phishing : vers un ciblage sophistiqué des victimes

Cibler une victime permet de gagner plus et de passer sous les radars des dispositifs de sécurité. Dans ce contexte, les cybercriminels préfèrent s’en prendre aux entreprises pl...

19/01/2018

L’Europe, le nouvel échiquier de la sécurité numérique

L’action cyber sécurité européenne sur un plan opérationnel a longtemps consisté en la tenue d’exercices et de simulations de crise cyber. Aujourd’hui, portée par les politiques...