Les AET (techniques d’évasion avancées) pour les nuls

Les AETPOUR

LES NULS‰

ÉDITION SPÉCIALE DE STONESOFT

Par Klaus Majewski, CISSP, CISA

A John Wiley and Sons, Ltd, Publication

01_9781118432716-ffirs.indd i01_9781118432716-ffirs.indd i 6/11/12 8:11 PM6/11/12 8:11 PM

Les AET pour les Nuls®, Édition spéciale de StonesoftPublié parJohn Wiley & Sons, LtdThe AtriumSouthern GateChichesterWest SussexPO19 8SQAngleterre Pour obtenir des informations détaillées sur la création d’un livre Pour les Nuls personnalisé pour votre entreprise ou organisation, veuillez contacter [email protected]. Pour obtenir des informations sur la licence de la marque Pour les Nuls pour des produits ou services, veuillez contacter BrandedRights&[email protected] notre site Internet à www.customdummies.comCopyright © 2012 de John Wiley & Sons Ltd, Chichester, West Sussex, AngleterreTous droits réservés. Il est interdit de reproduire, de stocker dans un système d’interrogation ou de transmettre sous une forme ou par tout autre moyen électronique, mécanique, de photocopie, d’enregistrement, de scannage ou autre, tout ou partie de la présente publication, sauf au titre des dispositions de la loi anglaise « Copyright, Designs and Patents Act 1988 » ou d’une licence émise par Copyright Licensing Agency Ltd, 90 Tottenham Court Road, London, W1T 4LP, R.-U., sans l’autorisation écrite de l’éditeur. Les demandes d’autorisation auprès de l’éditeur doivent être adressées à Permissions Department, John Wiley & Sons, Ltd, The Atrium, Southern Gate, Chichester, West Sussex, PO19 8SQ, Angleterre, par e-mail à [email protected], ou par télécopie au (44) 1243 770620.Marques de commerce : Wiley, le logo de Wiley, For Dummies, le logo du personnage Dummies Man, A Reference for the Rest of Us!, The Dummies Way, Dummies Daily, The Fun and Easy Way, Dummies.com, ainsi que la présentation des produits sont des marques de commerce ou des marques déposées de John Wiley & Sons, Inc. et/ou de ses sociétés affiliées aux États-Unis et dans d’autres pays, et ne doivent pas être utilisés sans autorisation écrite. Toutes les marques de commerce sont la propriété de leurs détenteurs respectifs. John Wiley & Sons, Inc., n’est pas associée aux produits ou aux fournisseurs mentionnés dans le présent livre.

LIMITE DE RESPONSABILITÉ/DÉNI DE GARANTIE : L’ÉDITEUR, L’AUTEUR ET TOUTE AUTRE PERSONNE IMPLIQUÉE DANS LA PRÉPARATION DU PRÉSENT LIVRE NE FONT AUCUNE DÉCLARATION OU N’ACCORDENT AUCUNE GARANTIE QUANT À L’EXACTITUDE OU À L’INTÉGRALITÉ DU CONTENU DU PRÉSENT LIVRE ; EN PARTICULIER, ILS NIENT SPÉCIFIQUEMENT TOUTES LES GARANTIES, Y COMPRIS SANS AUCUNE LIMITE, LES GARANTIES D’ADÉQUATION À UN USAGE PARTICULIER. AUCUNE GARANTIE NE PEUT ÊTRE CRÉÉE OU PROLONGÉE PAR DES DOCUMENTS DE VENTE OU DE PROMOTION. LES CONSEILS ET STRATÉGIES CONTENUES DANS LE PRÉSENT LIVRE PEUVENT NE PAS ÊTRE ADAPTÉS À TOUTES LES SITUATIONS. LE PRÉSENT LIVRE EST VENDU, ÉTANT ENTENDU QUE L’ÉDITEUR N’OFFRE PAS DE SERVICES JURIDIQUES, COMPTABLES OU AUTRES SERVICES PROFESSIONNELS. LES LECTEURS QUI VEULENT OBTENIR UNE AIDE PROFESSIONNELLE DOIVENT S’ADRESSER À UN PROFESSIONNEL COMPÉTENT. NI L’ÉDITEUR, NI L’AUTEUR NE SERONT TENUS RESPONSABLES DES DOMMAGES DÉCOULANT DU CONTENU DU PRÉSENT LIVRE. LA MENTION D’UNE ORGANISATION OU D’UN SITE INTERNET DANS LE PRÉSENT LIVRE EN CITATION ET/OU COMME SOURCE POTENTIELLE DE RENSEIGNEMENTS SUPPLÉMENTAIRES NE SIGNIFIE PAS QUE L’AUTEUR OU L’ÉDITEUR ENTÉRINENT LES RENSEIGNEMENTS OU LES RECOMMANDATIONS QUE PEUVENT FOURNIR L’ORGANISATION OU LE SITE INTERNET. EN OUTRE, LES LECTEURS DOIVENT SAVOIR QUE LES SITES INTERNET MENTIONNÉS DANS LE PRÉSENT LIVRE PEUVENT AVOIR CHANGÉ OU DISPARU DEPUIS LA CRÉATION DU LIVRE.

Wiley édite également ses livres sous divers formats électroniques. Certains contenus publiés peuvent ne pas être disponibles au format électronique.ISBN : 978-1-118-43271-6Imprimé et relié en Grande-Bretagne par Page Bros, Norwich10 9 8 7 6 5 4 3 2 1

01_9781118432716-ffirs.indd ii01_9781118432716-ffirs.indd ii 6/11/12 8:11 PM6/11/12 8:11 PM

Introduction

Bienvenue dans le livre sur Les AET pour les Nuls, un guide des techniques de contournement de la sécurité

qui sont devenues une préoccupation sérieuse pour le secteur informatique. Cela ne signifie pas pour autant que la sécurité informatique n’est pas déjà une source majeure d’inquiétude ; au contraire, au cours des dix dernières années, nous avons connu une recrudescence des menaces informatiques, des cybercrimes et des réglementations de conformité. Toutefois, des recherches récentes ont permis de voir sous un nouveau jour l’activité de protection. Étant donné que des moyens avancés de contournement mettront en échec le modèle de protection employé aujourd’hui par la majorité des organisa-tions, il nous incombe de repenser les modèles de sécurité traditionnels. Et c’est l’objectif de ce livre.

À propos de ce livreCe livre apporte une vue d’ensemble sur la sécurité des réseaux, et il explique comment les cyber-pirates pénètrent sur des réseaux protégés grâce à des méthodes cachées ou actuellement indétectables. Les Techniques d’Évasion Avancées (AET ou advanced evasion techniques) contourn-ent toutes les solutions de sécurité réseau actuelles. Elles permettent de diriger une attaque à travers le réseau ou d’en exploiter les dispositifs système : les pare-feux de sécurité, les pare-feux nouvelle génération (dits « Next Generation » ou couramment remplacé par le sigle « NG »), les systèmes de détection et de prévention des intrusions et même les rou-teurs chargés de l’inspection approfondie des paquets.

Ce livre vous permettra de bien comprendre les AET et il vous apportera des suggestions et des conseils utiles pour vous aider à aller de l’avant. Si vous travaillez dans le secteur gouvernemen-tal, militaire, bancaire ou toute autre infrastructure critique, lisez ce livre pour savoir contre quoi vous luttez et comment mieux vous protéger contre ces techniques d’évasion avancées.

02_9781118432716-intro.indd 102_9781118432716-intro.indd 1 6/11/12 8:11 PM6/11/12 8:11 PM

Les AET pour les Nuls 2

Hypothèses idiotesPour la rédaction de ce livre, nous avons fait certaines suppositions à votre égard :

✓ Vous possédez des connaissances élémentaires sur les réseaux informatiques et leur utilisation au sein et en dehors d’une organisation.

✓ Vous connaissez la terminologie sur la sécurité (vous savez par exemple faire la différence entre un bug et une nouvelle fonctionnalité).

✓ Vous ressentez le besoin d’évaluer la sécurité réseau de votre organisation.

✓ Vous avez une approche proactive de l’informatique et vous désirez comprendre la direction que prend le modèle de sécurité.

Comment utiliser ce livre!?L’ouvrage Les AET pour les Nuls se divise en quatre chapitres concis mais débordant d’informations. Voici un aperçu de ce qui vous attend :

✓ Chapitre 1, Comprendre le risque de sécurité, vous permettra de passer en revue les concepts des attaques de réseaux, des patchs et des différents niveaux de protection.

✓ Chapitre 2, Tenants et aboutissants des techniques d’évasion avancées, commence par l’histoire des con-tournements et passe ensuite aux choses sérieuses, grâce à des mécanismes et des exemples faciles à comprendre.

✓ Chapitre 3, Considérer la menace à un niveau élevé, focalise sur les systèmes de contrôle industriels et le cadre réglementaire et explique pourquoi les AET sont utilisées dans des attaques ciblant les organisations à forte valeur.

✓ Chapitre 4, Protection contre les AET, propose des conseils et des astuces utiles pour vous aider à évaluer la sécurité de vos systèmes.


Introduction 3

Icônes employées dans ce livrePour trouver facilement les informations les plus utiles, nous employons des icônes pour mettre l’accent sur les messages clés :

La cible attire votre attention sur un conseil de tout premier ordre.

Le nœud souligne les informations importantes à retenir.

Méfiez-vous de ces pièges potentiels.

Quelle est la démarche à suivre?Vous pouvez adopter l’approche traditionnelle et lire ce livre du début à la fin. Ou alors sauter des passages ou des chapi-tres, en vous servant des titres de sections pour vous guider et trouver les informations dont vous avez besoin. Quel que soit le mode de lecture que vous choisissez, vous ne pourrez pas vous tromper. Les deux méthodes aboutissent au même résultat : une meilleure compréhension des AET, du type de risque qu’elles représentent pour votre organisation et de la méthode de protection à employer.




Chapitre 1

Comprendre le risque de sécurité

Dans ce chapitre▶ État actuel de la cybercriminalité▶ Fonctionnement des attaques de réseau▶ Lien entre la vulnérabilité et les patchs▶ Limites de la sécurité multicouche

Ce chapitre vous fournit les informations élémentaires sur l’état actuel de la sécurité sur Internet. Nous examinons

l’Internet du point de vue d’un cybercriminel et découvrons l’image tout en rose qu’elle renvoie de cet angle. Nous décou-vrons exactement ce que constitue une attaque de réseau, qui les exécute et comment. Nous envisageons les patchs pour cor-riger les bugs et montrons qu’ils peuvent devenir la source de certaines vulnérabilités. Pour finir, nous étudions la démarche couramment utilisée pour lutter contre les attaques – la sécurité multicouche – et son échec face aux AET.

Comment les cybercriminels opèrent-ils?

Quand on se place du point de vue d’un cybercriminel, l’Internet tout entier offre une multitude de cibles. Certaines sont bien protégées, mais la plupart peuvent être facilement piratées. Les ordinateurs personnels, par exemple, sont souvent des cibles faciles. Les criminels peuvent les utiliser comme des plates-formes pour lancer des attaques contre d’autres ordinateurs.

03_9781118432716-ch01.indd 503_9781118432716-ch01.indd 5 6/11/12 8:09 PM6/11/12 8:09 PM


Chiffrer les coûts du CybercrimeUne étude menée en 2011 par The Ponemon Institute établit le coût moyen annuel de la cybercriminalité sur un panel de 50 grandes organisa-tions à $5.9 millions par organisation. Les incidents subis par ces entreprises étaient provoqués par l’utilisation de

code malveillant, le déni de service, le vol de terminaux, les attaques internes, etc. Tous les secteurs sont concernés par le cybercrime, mais l’impact financier le plus fort touche surtout la défense, l’énergie et le secteur financier.

Il n’existe pas de police de l’Internet, et aucune loi ne régit correctement la cybercriminalité. Ainsi, les délits commis dans le monde virtuel sont moins risqués pour les criminels que ceux qu’ils réalisent dans le monde réel. Il est donc logique de privilégier le monde du crime virtuel parce que le risque d’être pris est très limité et que même si on est pris, les peines de prison sont courtes.

De plus, les cybercriminels peuvent atteindre des millions de cibles dans le monde, ce qui veut dire que chaque crime n’a pas besoin d’être important. Par exemple, si vous volez 100 euros à chacune de vos cibles et que vous avez 1 million de cibles, vous récoltez un bénéfice de 100 millions d’euros. Chaque victime a subi une perte de 100 €, un montant telle-ment faible que la police ne prendra même pas la peine de faire une enquête.

Dans ces conditions, il est facile de comprendre pourquoi la cybercriminalité a récemment pris de l’ampleur et pourquoi elle s’est industrialisée et professionnalisée.

Comment fonctionnent les attaques de réseau!?

Il existe deux types d’attaque : l’une basée sur le réseau et l’autre sur l’hôte. Le tableau 1-1 explique les différences.


Chapitre 1: Comprendre le risque de sécurité 7

Tableau 1-1 Comparaison des attaques de réseau et de l’hôteType d’attaque

Lieu de l’attaque

Exemple Type de protection employée

Attaque de réseau

Sur le réseau Le ver Conficker

Dispositifs de sécurité réseau

Attaque de l’hôte

Localement au niveau de l’hôte cible

Le virus Melissa

Les logiciels antivirus et les systèmes de sécurité de l’hôte

Dans ce livre, nous nous concentrons sur les attaques de réseau parce que les AET fonctionnent principalement avec ce type d’attaque. Les AET déguisent les attaques de réseau de telle manière que les dispositifs de sécurité réseau ne les reconnaissent pas comme des attaques ou des exploits, ce qui permet aux criminels d’accéder à des cibles sur le réseau.

Qui sont les acteurs d’une attaque de réseau!?Une attaque de réseau typique compte trois acteurs :

✓ Système du pirate : Envoie un trafic réseau d’attaque vers le système cible et essaie d’ouvrir une brèche pour arriver à le contrôler à distance.

✓ Système de sécurité réseau : Il est normalement installé entre le pirate et le système cible qu’il est chargé de protéger contre les attaques.

✓ Système cible : Peut aller d’un ordinateur portable normal au serveur spécifique d’un progiciel de gestion intégré (PGI) d’une entreprise.



Déroulement d’une attaque typiqueVoici les étapes du déroulement d’une attaque de réseau typique :

1. Collecte d’informations.

L’attaquant essaie de trouver autant d’informations que possible sur le système cible et son environnement. Il peut employer des sources d’informations différen-tes, comme la base de données publique WHOIS, les pages Web et le système des noms de domaine (DNS). Il peut aussi recourir à l’ingénierie sociale et essayer d’obtenir des informations auprès des employés de l’entreprise où se trouve le système cible. D’autre part, l’Internet regorge de logiciels différents de collecte d’informations que l’attaquant peut employer pour recueillir automatiquement davantage d’informations sur le système cible.

2. Recherche des vulnérabilités.

L’Internet fournit un grand nombre d’informations sur les vulnérabilités des différents systèmes d’exploitation

Conficker : toujours d’actualitéDécouvert en novembre 2008, le ver Conficker exploite des vulnérabilités au niveau du Service Serveur des ordinateurs Windows, en utilisant une requête à distance (RPC) pour infiltrer la machine cible. Parmi les victimes connues de Conficker on compte l’Armée Française, qui a du immobiliser des avions de chasse en 2009, mais aussi la Police de Manchester, qui s’est vue contrainte de couper son réseau pendant trois jours en 2010.

Le “Security Intelligence Report” de Microsoft (avril 2012), basé sur un recueil de données en provenance de 660 millions de systèmes dans le monde, fait état du nombre de fois que Conficker ait été détecté sur une période de deux ans et demi : environ 220 millions d’occurrences sont évo-quées. Les recherches sur le sujet démontrent que les infections sont dûes à l’utilisation de mots de passe faibles ou volés et l’exploitation de vulnérabilités pour lesquels les cor-rectifs n’avaient pas été appliqués.


Chapitre 1: Comprendre le risque de sécurité 9et des applications. Et l’attaquant peut utiliser des logiciels spécifiques pour les découvrir.

3. Sélection de la méthode d’attaque appropriée.

L’attaquant doit choisir une attaque adaptée pour exploiter la vulnérabilité du système cible.

4. Attaque.

L’attaquant essaie d’exécuter son propre code dans le système cible ou d’ouvrir une invite de commande pour créer une connexion fiable de contrôle à distance du système cible.

5. Vol d’informations.

L’attaquant recherche des informations stockées dans le dispositif. Selon ce qu’il brigue, il peut soit voler l’information enregistrée, soit utiliser le dispositif comme une plate-forme pour lancer une nouvelle attaque plus approfondie au cœur de l’environnement de sa cible.

Création des patchsLe pirate ne peut pas lancer une attaque qui ouvrirait une brèche dans le dispositif s’il ne trouve pas de points vul-nérables dans le système cible. En théorie, c’est vrai. Mais la pratique et la théorie sont deux choses différentes. Et les bugs et les patchs engendrent des vulnérabilités.

Tous les programmes ont des bugsPour beaucoup, la solution de sécurité suprême est un logiciel sans bug, qui ne peut être exploité par personne. Malheureusement, la création d’un tel logiciel s’avère impos-sible. Par le passé, l’armée américaine a essayé de créer un logiciel dont on pourrait prouver mathématiquement qu’il ne contenait aucun bug. Ce projet a été très coûteux et le pro-gramme effectivement créé était assez court. Cette tentative n’a pas été renouvelée.

Des études réalisées sur la qualité des logiciels ont indiqué que dans mille lignes de code, on trouve toujours au moins trois bugs.


Les AET pour les Nuls 10Les logiciels modernes contiennent plusieurs millions de lignes de code, si bien qu’il est impossible de trouver tous les bugs pendant la phase interne de contrôle de la qualité. Les systèmes d’exploitation et les applications contiennent des bugs. Les mises à jour des logiciels de Microsoft et d’Adobe sont de bons exemples de fournisseurs qui corrigent les prob-lèmes découverts jusqu’ici dans leurs produits.

Comment les patchs corrigent les bugsLes éditeurs savent que leurs logiciels contiennent tous des bugs. C’est pour cette raison qu’ils fournissent sans cesse des correctifs. Ils le font par l’intermédiaire du patch : un proces-sus manuel ou automatique qui fournit aux usagers des cor-rectifs pour le logiciel.

Malheureusement, un laps de temps s’écoule entre la décou-verte d’un bug, l’élaboration d’une solution et le déploiement du patch. C’est pendant ce laps de temps que les attaques et les exploits réussissent.

Certaines circonstances accentuent la vulnérabilité :

✓ Il est possible qu’un patch provoque une panne du serveur de production au lieu de le corriger. (Le système cible de l’attaquant est un ensemble composé du système d’exploitation de base et du logiciel commercial, qui con-tiennent tous des bugs. Pour simplifier les choses, nous appelons ce type d’ordinateur et son logiciel un serveur de production.)

Dans les entreprises qui prennent leur sécurité très au sérieux, les patchs sont d’abord testés avant d’être appli-qués, pour être sûr qu’ils ne provoqueront pas une panne du serveur de production. Mais ce processus allonge le laps de temps pendant lequel le serveur de production est vulnérable.

✓ Il est impossible de corriger des serveurs de production critiques, comme des ordinateurs qui contrôlent des trait-ements (le poste de commande d’une machine à papier ou d’un réacteur nucléaire par exemple), parce qu’on ne peut pas les relancer ou les perturber pendant qu’ils contrôlent un processus. Consultez le Chapitre 3 pour en savoir plus.


Chapitre 1: Comprendre le risque de sécurité 11

Comprendre que la sécurité multicouche ne suffit pas

Les professionnels de la sécurité réseau s’attellent de nom-breuses façons au problème de vulnérabilité des serveurs. La sécurité multicouche est l’une d’entre elles. Ils ajoutent des dispositifs de sécurité réseau devant le serveur vulnérable pour créer un soi-disant patch virtuel qui permet au système de sécurité réseau de bloquer toutes les nouvelles tentatives d’attaques qui pourraient atteindre le serveur vulnérable.

Il est possible que les dispositifs de sécurité réseau disposent de plusieurs couches qui peuvent réaliser des tâches différen-tes. Par exemple, en périmètre d’une organisation, des pare-feux et concentrateurs du réseau privé virtuel limitent le trafic qui va atteindre l’organisation. La couche suivante pourrait être composée de systèmes de prévention des intrusions qui inspecterait le trafic pour détecter un logiciel malveillant ou une attaque.

S’il existe un moyen de contourner la sécurité réseau en couches ou les patchs virtuels, les serveurs de production vulnérables sont alors une nouvelle fois en danger. C’est exactement ce que peuvent faire les AET. Les patchs et la sécurité réseau multicouche ne suffisent plus pour protéger les organisations.

C’est exactement comme si vous aviez verrouillé toute votre maison pour vous protéger contre les cambrioleurs mais que vous ayez laissé la porte de derrière grande ouverte. Avec les AET, les cybercriminels peuvent contourner toutes les couches de sécurité pour avoir facilement accès à vos serveurs de pro-duction. Par ailleurs, les AET ne laissent aucune trace détectable par une analyse forensique, car les systèmes de sécurité réseau actuels ne peuvent pas les voir ni les détecter.

Prendre conscience de la menace invisible

Chaque décisionnaire doit être conscient de l’existence des AET et en tenir compte dans les décisions de gestion des risques. À


Les AET pour les Nuls 12l’heure actuelle, très peu de gens ont entendu parler des AET, ce qui signifie que ce sont des outils très précieux pour les cybercriminels.

A l’heure actuelle les dispositifs de sécurité réseau ne cernent pas les AET, qui ne laissent donc aucune trace détectable par une analyse forensique. D’après Spencer Mott, le vice-président et CEO de la société de jeux vidéo Electronic Arts, (interview 2012 publiée dans Infosecurity magazine), il existe deux types de directeur de sécurité informatique : « ceux qui ont subi une attaque, et ceux qui ignorent qu’ils ont en subi une ».


Chapitre 2

Tenants et aboutissants des techniques d’évasion

avancéesDans ce chapitre▶ Connaître les AET▶ Suivre la recherche sur les techniques d’évasions avancées▶ Comprendre les principes de base des AET▶ Etudier des AET à l’œuvre▶ Constater les problèmes associés aux systèmes de sécurité

réseau actuels

Dans ce chapitre, nous allons tout vous dire sur les AET : ce qu’elles sont, le niveau de risque de sécurité qu’elles

posent, comment elles fonctionnent et pourquoi elles passent outre les systèmes de sécurité réseau actuels.

Définition des AETEn matière de conception des protocoles Internet (IP), un des principes essentiels est celui de la robustesse :

L’exécution d’un protocole doit être robuste. Chaque protocole doit pouvoir fonctionner avec d’autres créés par des personnes différentes. Même si l’objectif de cette spécification est d’être explicite à propos du protocole, des interprétations différentes sont possibles. En général, l’exécution d’un protocole doit suivre un mode de réception ouvert tandis que le mode


Les AET pour les Nuls 14d’envoi doit rester conventionnel. C’est-à-dire qu’il doit veiller à envoyer des paquets de données sans erreur, mais il doit accepter tous les paquets de données qu’il peut interpréter (c.-à-d. ne pas s’opposer aux erreurs techniques quand la signification reste claire).

– RFC 760 – Protocole Internet standard du Ministère britannique de la défense, janvier 1980

Ce principe technique solide constitue la pierre angulaire de l’Internet.

Toutefois, les protocoles Internet sont souvent compliqués et permettent des interprétations diverses dans l’exécution. Les systèmes de sécurité informatique peuvent avoir du mal à détecter une attaque si le pirate utilise une combinaison inhabituelle de propriétés de protocoles rarement utilisées. De plus, l’attaquant peut rendre la détection encore plus dif-ficile en créant délibérément un trafic réseau qui ne tient pas compte des protocoles conventionnels. Si en bout de chaîne, le trafic est interprété de façon ouverte, une attaque peut arriver à destination sans être détectée. Ces techniques de déguisement sont collectivement appelées des techniques d’évasion.

Une technique d’évasion avancée permet d’installer, sans qu’il soit détecté, un code malveillant connu :

✓ En associant plusieurs méthodes connues de contour-nement en vue de créer une nouvelle technique qui est installée simultanément sur plusieurs couches du réseau.

✓ En ayant la capacité de modifier les combinaisons de contournement pendant l’attaque.

✓ En évitant l’inspection grâce à une conception intelligente.

Recherche des contournementsLe contournement n’est pas un phénomène nouveau. Ptacek et Newsham ont rédigé un document académique en janvier 1998 intitulé : « Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection » [Insertion, contournement et déni de service : éviter la détection d’une intrusion sur le réseau]. Ils ont expliqué le fonctionnement de techniques de contournement


Chapitre 2: Tenants et aboutissants des techniques d’évasion avancées 15simples, utilisées par des pirates pour contourner les dispositifs de sécurité réseau.

En 2007, Stonesoft a commencé ses recherches sur les AET. Ce projet a été lancé car le service de recherche et de dével-oppement (R&D) de Stonesoft n’arrivait pas à trouver dans le commerce de bons outils d’analyse de contournement qu’il pouvait employer pour tester les dispositifs de sécurité réseau. L’équipe du service R&D de Stonesoft chargée d’analyser les vulnérabilités a donc décidé de créer son propre outil automa-tisé de détection des techniques d’évasion avancées afin de tester ses propres produits de sécurité réseau.

Les chercheurs se sont tout d’abord penchés sur les recher-ches antérieures qui décrivaient les différents types de contournement et leur fonctionnement. Certains documents techniques portant sur les contournements existaient, mais ils n’expliquaient que des possibilités théoriques concernant le fonctionnement potentiel des contournements. Aucun ne décrivait une exécution quelconque de ces concepts.

Ensuite, pour découvrir les outils développés dans ce domaine, l’équipe a commencé à analyser les outils open source ou gratuits qui exécutaient des techniques de contournement. Ils n’ont découvert qu’un ou deux outils dont la couverture était minime.

L’équipe de Stonesoft a donc ré-exécuté tous les outils de contournement existants et a mis en œuvre tous les concepts expliqués théoriquement dans les documents techniques. Ce faisant, ils ont découvert plusieurs centaines de nouveaux contournements.

L’équipe a retenu quatre leçons pendant l’exécution de l’outil d’analyse :

✓ Il existe des contournements dans chaque protocole. ✓ Il est possible de combiner des méthodes de contourne-

ment pour en créer de nouvelles. ✓ L’ordre des contournements combinés est important. ✓ Le nombre des différentes combinaisons de contourne-

ment est considérable.


Les AET pour les Nuls 16Quand l’équipe d’analyse des vulnérabilités a commencé à tester les produits de Stonesoft avec des techniques d’évasion avancées, ils ont découvert que certaines d’entre elles con-tournaient les dispositifs de sécurité. Ils ont cherché à savoir si les techniques d’évasion avancées pouvaient également contourner d’autres produits de sécurité. C’est ainsi qu’ils ont créé un environnement de test disposant de tous les prin-cipaux systèmes de pare-feu et de prévention des intrusions NG. Les résultats obtenus se sont avérés très surprenants.

L’équipe de Stonesoft a pu contourner tous les dispositifs de sécurité réseau testés, avec une facilité déconcertante.

En général, ils ont exécuté l’environnement d’analyse pendant deux secondes, et pendant cette période, plusieurs AET ont réussi à s’infiltrer. Même des techniques d’évasion très basiques ont contourné un grand nombre de dispositifs. Imaginez ce qui se serait passé s’ils avaient exécuté le même environnement d’analyse pendant un jour ou deux...

L’équipe d’analyse des vulnérabilités s’est inquiétée. Ce résultat était dévastateur pour toute la communauté des professionnels de la sécurité Internet. Tous les dispositifs de sécurité réseau existants étaient impuissants face aux AET. Il semblait que les techniques d’évasion avancées représentaient un domaine de sécurité négligé, peut-être parce qu’il n’existait aucun bon outil d’analyse dans ce domaine.

L’équipe a alors contacté CERT-FI en Finlande, où le laboratoire R&D était installé. (CERT-FI favorise la sécurité en diffusant des informations sur les menaces pour la sécurité informatique.) L’équipe a fourni 23 exemples où des techniques d’évasion avancées parvenaient à capturer le trafic et elle a demandé à CERT-FI de diffuser cette information à tous les fournisseurs de sécurité réseau concernés.

Étonnamment, les fournisseurs de sécurité réseau ont peu réagi. Soit ils n’ont pas du tout répondu, soit ils ont indiqué que les AET ne représentaient pas un problème pour leurs systèmes. Il a fallu près de deux ans et 287 nouveaux exemples de captures de trafic par des techniques d’évasion avancées avant que les fournisseurs de sécurité réseau ne commencent à comprendre l’étendue du problème.


Chapitre 2: Tenants et aboutissants des techniques d’évasion avancées 17

Comprendre l’ampleur considérable des AET

L’ampleur des différentes AET est vaste. La situation est sem-blable à celle de l’industrie antivirus il y a 15 ans, quand un énorme problème de virus existait, mais que personne dans l’industrie ne pouvait dire combien de virus aller émerger. Il y a un an ou deux, l’industrie antivirus a cessé de calculer le nombre existant de virus et variantes différents, simplement parce qu’ils étaient trop nombreux. De la même façon, le potentiel des évasions avancées est aujourd’hui tellement important qu’il est difficile à appréhender.

Prenons un exemple :

Stonesoft a découvert 147 contournements atomiques en 2010. La possibilité de combiner deux contournements ou plus élar-git l’espace de contournement, qui devient encore plus grand à cause du nombre important de contournements atomiques combinés.

Pensez à un contournement potentiel comme à un nombre binaire de 147 chiffres. Chaque chiffre peut avoir une valeur de 1 ou 0. Vous pouvez maintenant calculer le nombre de valeurs différentes d’un nombre binaire de 147 chiffres. La réponse est 2 puissance 147 et le résultat s’écrit en 44 chiffres. Il s’agit de toutes les combinaisons ordonnées possibles des 147 contournements atomiques.

Les combinaisons de contournements ne fonctionnent pas toutes, mais une grande partie réussira. Le défi consiste à trouver celles qui fonctionnent et de trouver leur antidote. C’est la raison pour laquelle vous avez besoin d’outils d’analyse automatisée de techniques d’évasion avancées.

Analyse systématique des principes clés des AET

Les AET peuvent être identifiées selon certains principes sous-jacents. Les AET


Les AET pour les Nuls 18 ✓ sont transmises d’une manière très ouverte (voir la

section précédente de ce chapitre intitulée « Définition des AET »)

✓ visent des dispositifs de sécurité qui sont conçus d’une manière conventionnelle.

✓ ont recours à des propriétés de protocoles rarement utilisées

✓ ont recours à des combinaisons inhabituelles ✓ établissent un trafic réseau qui ne respecte pas les

spécifications strictes des protocoles ✓ exploitent les limites techniques et d’inspection des dis-

positifs de sécurité : capacité de mémoire, optimisation des performances, vices de conception et ainsi de suite

Les AET sont un moyen de déguiser des cyber-attaques pour éviter la détection et le blocage par les systèmes de sécurité informatique. Les AET permettent aux cybercriminels de livrer un contenu malveillant sur un système vulnérable en évitant une détection, qui mettrait normalement fin à la menace. Les systèmes de sécurité réseau sont inefficaces contre les AET de la même façon qu’un avion de chasse furtif peut attaquer sans être repéré par un radar ou autre système défensif similaire.

Il ne suffit pas de compter uniquement sur la détection des anomalies ou des violations de protocoles pour bloquer des techniques de contournement. Bien que certaines anomalies et violations de protocoles se produisent uniquement quand des AET sont utilisées, la plupart des irrégularités apparais-sent en raison d’une exécution légèrement défaillante des protocoles dans les applications couramment utilisées sur Internet.

Pour une détection plus précise, le trafic du réseau doit être analysé et décodé couche par couche. Étant donné que l’attaque peut être déguisée par des contournements sur de nombreuses couches, il faut réaliser une normalisation du trafic réseau et une analyse soigneuse de la couche appropriée.


Chapitre 2: Tenants et aboutissants des techniques d’évasion avancées 19

Étude d’un exemple de contournement simple

En 2009, un contournement très simple a bien fonctionné sur la plupart des dispositifs de sécurité réseau : un contournement par fragmentation. C’est un excellent exemple car il est si simple et illustre cependant les vices de conception des dispositifs de sécurité réseau.

Le ver Conficker, détecté pour la première fois en novembre 2008, exploite la vulnérabilité du service serveur sur les ordi-nateurs Windows. Il utilise un appel de procédure à distance (RPC) spécialement conçu pour provoquer un débordement de la mémoire tampon et exécuter un code malveillant sur l’ordinateur cible. Les dispositifs de sécurité réseau actuels détectent tous le ver Conficker, parce qu’il était si connu à son époque et qu’il existe déjà depuis plusieurs années.

Le trafic sur un réseau TCP/IP (Transmission Control Protocol/Internet Protocol) repose sur les paquets de données. Si nécessaire, ces paquets peuvent être fragmentés en paquets plus petits. Alors, imaginez que vous coupez le ver Conficker en deux fragments, que vous envoyez à travers le dispositif de sécurité réseau, en attendant dix secondes entre les frag-ments. Étonnamment, le dispositif de sécurité réseau ne détecte pas le ver Conficker de cette façon.

Que s’est-il passé?

En fait, les dispositifs de sécurité réseau doivent pouvoir gérer des millions de connexions à chaque seconde, ce qui implique qu’ils ne peuvent conserver qu’une partie de ces connexions en mémoire. En 2009, la recherche du service R&D de Stonesoft a découvert que la quantité normale de mémoire affectée au trafic inspecté correspondait à environ sept secondes.

Dans l’exemple du ver Conficker, deux fragments sont envoyés à dix secondes d’intervalle. Alors, entre une et sept secondes, le dispositif de sécurité réseau sait qu’il a vu la première partie du ver Conficker et il attend de voir la dernière. Ainsi, le ver Conficker tout entier correspondra à l’empreinte de détection et le dispositif interrompra le trafic.


Les AET pour les Nuls 20Mais après sept secondes, la partie mémoire de cette con-nexion est renouvelée et le dispositif de sécurité réseau ne se souvient plus d’avoir vu la première partie du ver Conficker. De cette manière, la seconde partie du ver entre sur le réseau et le dispositif de sécurité le laisse passer. Dès lors, les deux parties du ver Conficker sont passées et elles peuvent exploiter le système cible.

Le service R&D de Stonesoft a réalisé cette AET à fragmentation simple en 2009 et ce contournement ne fonctionne probable-ment plus. Mais cet exemple démontre qu’un contournement fonctionne bien sur les systèmes dont la mémoire est trop faible par rapport au volume de trafic qu’ils inspectent. Tous les dispositifs de sécurité réseau de 32 bits ont par exemple une mémoire limitée à 4 Go. Dans l’avenir, la plupart des systèmes de sécurité réseau devraient reposer sur le 64 bits afin d’avoir une quantité de mémoire suffisante pour gérer correctement de grandes quantités de trafic.

Points faibles des dispositifs de sécurité réseau actuels

Les organisations d’utilisateurs finaux sont confrontées à deux questions essentielles :

✓ Pourquoi les dispositifs de sécurité réseau sont-ils inca-pables d’offrir une protection efficace contre les tech-niques d’évasion avancées ?

✓ Pourquoi le problème des techniques d’évasion avancées est-il impossible à corriger de la même façon qu’un exploit normal ?

La réponse vient de la gestion du trafic, de l’inspection et de la détection. Chacune de ces capacités a un rôle critique à jouer pour établir une protection adaptée face aux techniques d’évasion avancées au sein d’un système de prévention des intrusions ou un pare-feu NG.

Le débit prime sur la sécuritéLes systèmes de sécurité devraient normaliser le trafic au niveau de chaque couche. Mais un grand nombre de dispositifs


Chapitre 2: Tenants et aboutissants des techniques d’évasion avancées 21de sécurité réseau privilégient la vitesse sur la sécurité du réseau et prennent donc des raccourcis. Ils n’inspectent pas les quatre couches du protocole TCP/IP. De cette manière, le système de sécurité est plus rapide, mais le réseau est davan-tage exposé aux techniques d’évasion avancées.

Les AET exploitent les raccourcis et les faiblesses des proces-sus de normalisation et d’inspection.

Pour en apprendre davantage sur les couches du protocole TCP/IP, consultez l’ouvrage de W. Richard Stevens : TCP/IP Illustrated, Volume 1: The Protocols (Addison-Wesley, 1994).

Inspection basée sur les paquets de donnéesLa plupart des systèmes de sécurité réseau inspectent simple-ment des segments ou des pseudo-paquets, et ne peuvent pas inspecter un flux de données constant. Ce problème fon-damental de conception est extrêmement difficile à changer. En particulier dans le cas des solutions matérielles ; une nou-velle conception des équipements de sécurité signifierait une dépense importante en R&D.

Dans le cas des solutions matérielles, il est fréquent que les fonctions de manipulation de bas niveau des paquets soient transférées du processeur (CPU) central vers un équipement spécifique, afin d’éviter d’avoir besoin d’un processeur puis-sant. De plus, la consommation de mémoire est faible parce que le matériel ne gère à la fois que des segments courts du trafic réseau.

L’inspection basée sur les flux de données exige une plus grande capacité de mémoire et des processeurs plus puissants pour continuer à fonctionner à un rendement correct. Passer de l’inspection des segments à l’inspection du flux de données implique de modifier fortement les fonctions de base qui sont exécutées dans le matériel.

Pour la plupart des fournisseurs, une nouvelle conception de leurs solutions matérielles ou un passage à un environnement 64 bits pour mettre à disposition une capacité de mémoire plus importante est une « mission impossible », si bien que l’étendue de l’inspection est sacrifiée.



Les AET exploitent l’inspection des segments ou des pseudo-paquets en étalant les attaques au niveau des limites de ces segments ou pseudo-paquets.

Détection basée sur l’utilisation des exploitsUn réassemblage et une normalisation efficaces des protocoles permettent de bien gérer les techniques d’évasion avancées et permettent à une approche focalisée sur les vulnérabilités de détecter et d’empêcher des attaques. Une approche basée sur les exploits qui dépend de la mise en correspondance orientée sur les paquets de données est nettement plus vul-nérable aux techniques d’évasion avancées et elle représente un risque concret et un danger de sécurité à long terme.

Une telle approche ne pourra ni détecter ni bloquer les attaques des techniques d’évasion avancées parce que le nombre de combinaisons possibles de contournement est astronomique. Il est impossible de créer des signatures pour chaque com-binaison de contournements comme le requiert l’approche basée sur l’inspection du flux de données pour découvrir les exploits.

Un système de sécurité réseau normal contient entre 3 000 et 10 000 signatures actives à tout moment donné. Imaginons que vous créiez un million de signatures de contournements pour détecter certaines techniques d’évasion avancées. Ce n’est pas faisable parce que la technologie matérielle actuelle ne permet pas de gérer une telle quantité de signatures tout en gardant un débit de trafic acceptable.

Une autre méthode doit exister pour résoudre ce problème. Poursuivez votre lecture si vous voulez connaître cette solution.


Chapitre 3

Prendre en compte la menace à un niveau élevé

Dans ce chapitre▶ Connaître les menaces avancées et persistantes (APT).▶ Protection des systèmes de contrôle industriel

Dans ce chapitre, nous examinons les AET par rapport aux grands systèmes importants – systèmes de contrôle

industriels – pour vous aider à comprendre l’importance d’une protection contre la menace à tous les niveaux d’une organisation.

Considérer les AET comme un passe-partout pour les Cybercriminels

Les AET ne sont pas encore bien connues et elles contournent tous les systèmes de sécurité réseau. En conséquence, elles représentent des outils très puissants pour les cybercriminels.

Les cybercriminels font un effort minimum face à leur cible. Ils ne veulent pas utiliser des méthodes excessives ; après tout, ils exécutent leurs opérations comme une activité normale et doivent donc contrôler les coûts.

05_9781118432716-ch03.indd 23 9/7/12 10:12 AM

Les AET pour les Nuls 24La détection d’une technique d’évasion avancée n’est pas une chose aisée. Pour créer un outil de détection des contourne-ments, il a fallu plus de quatre ans à Stonesoft et les dével-oppeurs étaient des professionnels de la sécurité réseau. Il est donc logique que pour un cybercriminel, le développement d’une AET soit onéreux en termes d’argent, de temps et de réflexion.

Les criminels utilisent donc les AET contre des cibles qui sont très difficiles ou dont la valeur est très élevée. Il s’agit de cibles dont les réseaux sont bien surveillés et qui ont mis en place plusieurs couches de sécurité.

Par exemple, le professeur Andrew Blyth et son équipe de l’université de Glamorgan réalisent des analyses criminalis-tiques des réseaux dès que des organisations gouvernementa-les du Royaume-Uni sont piratées. Dans de tels cas, le rapport indique que les pirates se sont servis d’AET. Il a déclaré que : « les AET représentent une grave menace pour la sécurité des réseaux et nous avons déjà constaté que des pirates les ont utilisées un peu partout. »

Protection des systèmes de contrôle industriels

Ce n’est qu’avec l’arrivée de Stuxnet en 2010 que les fournis-seurs et entreprises de sécurité ont commencé à accorder davantage d’attention à la sécurité des réseaux de télésurveil-lance et d’acquisition de données (SCADA) au sein des systèmes de contrôle industriel (SCI).

La vulnérabilité des réseaux industriels et les conséquences éventuelles pour la sécurité des personnes et de l’environnement impliquent que les responsables de la sécurité des réseaux industriels doivent faire des efforts considérables pour trouver des solutions appropriées.

Cependant, même avec l’arrivée à l’automne 2011 des logiciels malveillants spécialement conçus pour les réseaux industriels – le cheval de Troie Duqu – les méthodes d’attaque conven-tionnelles et les failles de sécurité constituent néanmoins une grande menace pour ces systèmes.

05_9781118432716-ch03.indd 24 6/11/12 8:07 PM

Chapitre 3: Prendre en compte la menace à un niveau élevé 25La sécurité des systèmes SCADA et SCI est donc une préoccu-pation majeure.

Limiter l’expositionIl ne s’agit pas simplement des réseaux SCADA, mais de tous les systèmes SCI qui sont confrontés à des problèmes de sécu-rité. La Figure 3-1 démontre que chacun court le risque d’être victime d’un cybercrime – seul le degré de probabilité varie.

100%

0%

Failble

Associations, TPE, Services

Risque élevé

Risque faible

Risque moyenHaute technologie, médias, commerce, industrie

Probabilité decybercrime

Gouvernments,défense, !nance, infrastructurescritiques

Impact !nancièrpolitique, commercialou sur les DPI

Élevé

Figure 3-1: Effets de l’assaut des menaces avancées sur différentes industries.

En conséquence, des travaux sont en cours pour trouver des solutions qui peuvent s’appliquer de façon générale. Par exemple, la norme NERC-CIP (North American Electric Reliability Corporation-Critical Infrastructure Protection) est obligatoire aux États-Unis pour les grands réseaux électriques. Cependant, il n’existe aucune réglementation uniforme à l’échelle internationale concernant la protection des réseaux ICS. En conséquence un grand nombre de normes ou de spécifications non officielles sont utilisées, comme Achilles de Wurldtech Security Technologie ou ISA Secure.

De même, la recherche des failles de sécurité possibles com-mence tout juste à émerger. En 2011 par exemple, NSSLabs a découvert des failles de sécurité dans des automates program-mables industriels (API) qui servent à surveiller et à inspecter

05_9781118432716-ch03.indd 25 6/11/12 8:07 PM

Les AET pour les Nuls 26des systèmes SCADA. Si des pirates venaient à exploiter cette faille, ils obtiendraient le contrôle total du système et celui du processeur principal, et ils pourraient utiliser l’API pour con-trôler tous les instruments connectés qu’ils désirent, et même reprogrammer l’API.

Patchs virtuelsPour limiter les risques supportés par les systèmes SCADA, on peut les soustraire au réseau. Les lignes d’attaque sont considérablement réduites s’il n’existe aucune connexion avec l’extérieur. Mais il est souvent impossible de supprimer complètement toutes les connexions. Pour cette raison, les organisations et les entreprises dotées de systèmes SCADA emploient souvent des solutions de prévention des intrusions pour assurer leur sécurité.

Les systèmes de prévention des intrusions (IPS) surveillent l’intégralité du flux de données et permettent l’entrée sur le réseau en l’absence totale de menace. Si un logiciel malveillant tente d’entrer dans le réseau, ils coupent automatiquement la connexion avec les données et l’empêchent ainsi de pénétrer sur le réseau. Cette méthode de sécurité permet également d’appliquer des patchs virtuels sur des serveurs et des services en protégeant les serveurs vulnérables qui seront « corrigés » uniquement lors de la prochaine fenêtre d’entretien : une exigence essentielle pour les réseaux industriels.

Mais les AET déguisent ou modifient tellement les cyber-attaques qu’elles ne sont ni identifiées ni bloquées par les systèmes de sécurité avec pour conséquence l’infiltration non détectée d’un contenu malveillant dans des systèmes non protégés. À l’opposé des techniques de contournement simples, les AET :

✓ Différencient les méthodes utilisées pour déguiser une attaque

✓ Peuvent être combinées d’une façon pratiquement illimitée

✓ Utilisent le trafic réseau à différents niveaux

De cette manière, elles fragilisent les mécanismes convention-nels de sécurité.

05_9781118432716-ch03.indd 26 6/11/12 8:07 PM

Chapitre 3: Prendre en compte la menace à un niveau élevé 27Les dispositifs qui inspectent le flux de données emploient différentes techniques, mais la plupart utilisent l’analyse de protocole et la détection de signatures. Cette technique détecte certains schémas d’attaque qui caractérisent les logiciels malveillants au sein du trafic réseau, qui exploitent les points faibles d’un système de communication.

Mais si les types de menaces sont en évolution constante, les systèmes de prévention des intrusions ont du mal à détecter l’attaque dissimulée dans le paquet de données. Parfois, il suffit d’un petit changement, comme le décalage d’un segment, pour ne plus ressembler à aucun des types d’attaques répertoriés dans les systèmes de prévention des intrusions. Résultat : le système de sécurité ne détecte pas le code malveillant caché et le laisse accéder au réseau. Étant donné qu’aucune alarme ne signale une menace possible, les cybercriminels peuvent alors naviguer librement dans le système pour trouver un point faible possible ou un serveur sans patchs.

Étude d’un exemple simpleLes cybercriminels semblent avoir une meilleure compréhen-sion des AET que les fabricants de solutions d’inspection de la sécurité réseau.

Imaginez une machine à papier, une centrale nucléaire ou un réseau électrique. Ils sont tous contrôlés par un ordinateur ou un système informatique quelconque. Normalement, les ordina-teurs de contrôle sont dotés de systèmes d’exploitation qui ont été développés cinq à dix ans plus tôt, et ils sont probablement encore contrôlés sous Windows NT. La durée de vie d’un sys-tème de contrôle industriel atteint facilement 15 ans.

Le problème provient du fait que l’ordinateur de contrôle ne peut pas être régulièrement mis à jour parce que les nombreuses actualisations demandent un redémarrage de la machine. Ces machines de l’environnement de contrôle industriel sont redé-marrées une à deux fois par an seulement à l’occasion d’une session de maintenance.

Alors, quand un nouveau patch est disponible pour l’ordinateur de contrôle, le personnel chargé de la sécurité réseau ne peut pas l’appliquer immédiatement. Il peut s’écouler six mois avant que le personnel n’applique le patch. Entre-temps, les

05_9781118432716-ch03.indd 27 6/11/12 8:07 PM

Les AET pour les Nuls 28membres du personnel protègent l’ordinateur de contrôle grâce à des systèmes de sécurité réseau, comme des pare-feux ou des systèmes de prévention des intrusions NG. Mais l’ordinateur de contrôle est vulnérable tant que le patch n’est pas appliqué. Les cybercriminels profitent donc d’une fenêtre de tir.

Auparavant, les systèmes de contrôle industriel étaient instal-lés sur un réseau complètement séparé, mais dernièrement, les administrateurs de systèmes les ont connectés à des réseaux internes de bureau et même directement à l’Internet pour certains d’entre eux car ces activités exigent une connexion à des systèmes extérieurs. Ainsi, les cybercriminels ont la possibilité d’accéder à ces systèmes en passant par le réseau.

Ils utiliseront des exploits connus contre l’ordinateur de con-trôle non patché (Windows NT dans l’exemple) puis utiliseront des AET pour dissimuler l’exploitation et contourner les sys-tèmes de sécurité réseau. Ils peuvent maintenant prendre le contrôle de la machine à papier, du réacteur nucléaire ou du réseau électrique.

La leçon à retenir ici : vérifier que vous êtes protégé contre les AET si vous exécutez un environnement ICS dans lequel vous ne pouvez pas appliquer immédiatement les patchs.

05_9781118432716-ch03.indd 28 6/11/12 8:07 PM

Chapitre 4

Protection contre les AETDans ce chapitre▶ Comportement de votre réseau lors d’un test de détection d’AET▶ Calcul des risques▶ Inspection du trafic▶ Adoption d’une gestion centralisée▶ Analyse des solutions dans un environnement réel

Il n’existe sur le marché actuel aucun système de sécurité capable de garantir une protection à 100 % contre les AET.

Contrairement aux menaces de type Stuxnet ou Conficker, une simple mise à jour du système ne règle pas le problème. Le mode de fonctionnement des AET et le nombre même des combinaisons de contournements possibles impliquent qu’il est extrêmement difficile de se protéger contre elles – et le combat ne fait que commencer.

Cependant, les organisations devraient prendre des mesures pour renforcer leur protection contre cette menace. En fait, toute organisation qui ne parvient pas à comprendre ce risque et à le diminuer expose son réseau à des dangers connus et inconnus. Dans cette époque de cybercrime sophistiqué, de nombreuses organisations – agences gouvernementales et entreprises comprises – risquent de graves répercussions si elles ne parviennent pas à se préparer à lutter contre les AET.

Ce chapitre offre des conseils pratiques que les organisations peuvent appliquer pour renforcer leur niveau de protection contre les AET.



Analyse de votre propre réseauArmez-vous de connaissances : soyez conscient des failles de votre réseau.

Stonesoft a commencé à parler publiquement des AET vers la fin de l’année 2010. Beaucoup ont vu des démonstrations d’AET, mais ils n’ont pas été convaincus parce que les systèmes de sécurité réseau utilisés dans ces démonstrations n’étaient pas les leurs. Ils étaient également convaincus qu’ils pouvaient affûter leurs systèmes de sécurité pour que les AET n’arrivent pas à les contourner.

Alors Stonesoft a proposé une version portable d’un outil avancé de détection de contournement, dénommé Æntievasion Readiness Test (AERT).

L’Æntievasion Readiness Test vous apporte :

✓ Des données réelles et objectives sur les capacités de lutte contre le contournement de vos systèmes de sécu-rité réseau actuels et prévisionnels.

✓ Une évaluation des risques de contournement pour la direc-tion, sous la forme d’un rapport d’analyse avec données d’analyse à l’appui et d’un plan consultatif d’atténuation des risques.

Cet outil emploie les propres systèmes et configurations de l’organisation – exactement comme ils fonctionnent en réel. De cette manière, les organisations bénéficient d’une technique d’analyse tout à fait réaliste et précise. L’analyse elle-même est exécutée par un prestataire de services tiers indépendant pour garantir son objectivité et son indépen-dance vis-à-vis des fabricants et des technologies.

Le tableau 4-1 indique dans quels cas l’analyse est requise.


Chapitre 4: Protection contre les AET 31

Tableau 4-1 S’informer sur le cyber-risque : déterminer quand une détection de contournement est nécessaireContextes DéfisÉvaluation du niveau de sécurité/audits des systèmes de sécurité actuels

Définir s’il existe ou non une menace directe de contournement

Évaluer et gérer correctement les risques de sécurité

Évaluation de nouveaux produits pour les décisions d’investissement

Évaluation des produits qui offrent la meilleure protection contre le contournement

Vérification des prétentions des éditeurs

Nouvelle conception de la sécurité du réseau

Déterminer si votre niveau de sécurité est suffisamment élevé

Définir l’emplacement ou le reposi-tionnement du système de préven-tion des intrusions/des systèmes d’inspection approfondie des paquets, et savoir quel type utiliser

Allez en ligne sur aet.stonesoft.com pour en savoir plus sur l’Æntievasion Readiness Test.

Analyse des risques Analysez votre infrastructure critique et les actifs les plus importants de votre organisation :

✓ Comment ils sont stockés ✓ Où ils sont stockés ✓ Si vous sauvegardez ou non les informations

Classez vos actifs par ordre de priorité et d’importance pour votre société et assurez-vous que vos actifs et vos services publics essentiels disposent de la meilleure protection pos-sible contre les AET.



Méthodes d’inspection du traficUtilisez des méthodes d’inspection du trafic pour résoudre le problème des techniques d’évasion avancées.

Une fois que vous avez identifié les actifs que vous protégez, vous pouvez répertorier toutes les différentes méthodes d’accès à ces actifs. Si les cybercriminels veulent lancer une attaque à travers votre réseau, ils doivent emprunter ces mêmes chemins d’accès pour atteindre vos informations.

En tant que spécialiste averti de la sécurité réseau, vous pouvez sécuriser ces chemins d’accès à l’aide de systèmes de prévention des intrusions (IPS). Malheureusement, la technol-ogie IPS conventionnelle n’est pas suffisamment souple pour lutter efficacement contre la menace des AET. Cependant, une technologie baptisée normalisation du trafic peut éliminer des contournements avancés du trafic réseau qui circulent sur ces chemins d’accès et révéler des attaques dissimulées.

Familiarisation avec la normalisation du traficUne analogie à la langue française est utile pour comprendre la normalisation du trafic.

Les contournements avancés sont comme des dialectes dif-férents, utilisés pour dissimuler la signification réelle des mots exprimés. Supposons par exemple que deux cybercriminels, qui aimeraient dévaliser une banque, ont l’intention de discuter de leurs plans dans une salle pleine de gens sans que personne d’autre ne puisse comprendre ce qu’ils cherchent à faire. Si les cybercriminels parlent normalement, les autres personnes dans la salle pourront entendre ce qu’ils disent et les arrêter s’ils comprennent qu’ils vont dévaliser une banque. Pour éviter ce problème, les cybercriminels peuvent recourir non pas à un, mais à plusieurs dialectes français différents et les mélanger avec des mots d’argot très spécifiques (comme une technique d’évasion avancée), simplement pour s’assurer qu’ils sont les seules personnes dans la salle à vraiment comprendre ce qu’ils disent.


Chapitre 4: Protection contre les AET 33Maintenant, imaginez simplement que toutes les autres per-sonnes dans la salle sont des agents de police (ou un système IPS standard, si vous préférez). Ils vont essayer d’écouter toutes les discussions autour d’eux pour trouver ces cyber-criminels en se concentrant sur des mots-clés particuliers comme « banque », « vol », « argent », « or » et « clés ». S’ils entendent l’un de ces mots dans une discussion particu-lière, ils en arrêteront les participants et mettront fin à leurs actions. Cependant, ces cybercriminels sont déterminés et ils sont très motivés pour dévaliser cette banque. Ils ont consacré beaucoup de temps et d’efforts à apprendre des dialectes français et des mots d’argot particuliers pour pou-voir discuter du vol de la banque sans que personne ne les comprennent ; ainsi ils emploient des techniques d’évasion très avancées pour déguiser leurs intentions et faire leur tra-vail. Ce genre de groupe de cybercriminels est parfois désigné comme une menace avancée et persistante (APT ou advanced persistent threat).

Dans cet exemple, la solution consiste à comprendre les dia-lectes et l’argot employés par les cybercriminels pour pouvoir retraduire leur conversation en français courant. Ce processus de retraduction en français courant des différents dialectes – ou la suppression des dialectes et de l’argot pour les remplacer par des mots courants qui appartiennent au français normal – s’appelle la normalisation. Maintenant, dès que la langue est compréhensible, il est possible de la scanner et de chercher des termes particuliers comme « banque », « vol », etc., qui vous indiquent que les cybercriminels se préparent à dévaliser une banque.

Vous pouvez procéder de la même façon pour le trafic réseau. Si des cybercriminels emploient des AET pour dissimuler leurs attaques, vous pouvez réaliser une normalisation du trafic réseau pour éliminer les contournements et dévoiler le trafic réel qui se cachait derrière eux. Vous pouvez alors employer des processus standard de vérification des signatures pour détecter les attaques sur le trafic réseau normalisé. Dans le monde réel, ce processus est beaucoup plus complexe que ce que nous avons décrit ici, mais cette explication vous fournit les informations essentielles. Si vous êtes vraiment intéressé et que vous désirez en savoir plus, rendez-vous sur aet.stonesoft.com.



Mise en œuvre de la normalisation du traficLes contournements avancés fonctionnent très bien sur tous les dispositifs de sécurité réseau actuels car la plupart des systèmes de prévention des intrusions (IPS) ne peuvent inspecter qu’une partie du flux de données. Ils n’inspectent pas la totalité du flux et ne peuvent donc pas normaliser entièrement le trafic réseau. En conséquence, les techniques d’évasion avancées permettent de dissimuler des attaques sans qu’elles soient détectées.

Pour que le processus de normalisation du trafic fonctionne face aux AET, il doit être mis en œuvre entièrement. Il ne sert à rien d’exécuter qu’une partie du processus. En d’autres termes, il faut réaliser une normalisation du trafic de l’ensemble du flux de données, et pas seulement de certaines parties.

Le passage de l’inspection des paquets à celui du flux complet n’est pas simple. Les changements requis sont considérables concernant la manipulation de bas niveau des paquets, et l’architecture du système de sécurité réseau doit être fonda-mentalement différente. L’inspection du flux de données com-plet demande plus de mémoire au système de détection des intrusions et affecte la performance de celui-ci.

Pour ces raisons, un certain temps sera peut-être nécessaire pour que des systèmes IPS capables d’assurer une protection totale contre les techniques d’évasion avancées soient dis-ponibles sur le marché. Il a fallu près de cinq ans de recherche à Stonesoft par exemple pour créer une protection contre les techniques d’évasion avancées. Cependant, personne ne détient une protection absolue contre les AET, mais les fournisseurs qui sont actifs à cet égard ont un énorme avan-tage sur ceux qui ne font aucune recherche dans ce domaine.

Les contournements existent depuis 1998 et restent très effi-caces contre les systèmes de sécurité réseau. Mais ne perdez pas espoir : sachez qu’une normalisation complète du trafic et une inspection du flux de données peuvent résoudre le pro-blème. Consultez le site Internet de Stonesoft à aet.stonesoft.com pour en savoir plus sur ces solutions.


Chapitre 4: Protection contre les AET 35Il faut toutefois exercer des pressions sur les fournisseurs pour qu’ils intègrent cette protection dans leurs produits. Stonesoft collabore activement avec les laboratoires d’essai de systèmes réseau, ICSA Labs et NSS Labs, pour inclure la détection des AET dans leurs programmes d’essai et de cer-tification des systèmes de sécurité réseau. Actuellement, les essais de ces laboratoires portent sur des contournements très simples, mais nous espérons sincèrement qu’à l’avenir, ils passeront à des essais sur de véritables AET. Un tel change-ment obligerait tous les fournisseurs de sécurité réseau à faire des recherches sur les AET et à fournir une protection contre elles pour passer les tests d’ICSA Labs ou de NSS Labs.

Déploiement d’une approche centralisée

Les systèmes ne peuvent détecter et bloquer que des AET prédéfinies et bien connues. Si les contournements évoluent légèrement, ou s’ils sont combinés d’une façon plus complexe, les systèmes ne les identifient pas.

La nature dynamique et en évolution constante des contour-nements implique qu’une gestion centralisée représente la seule défense possible pour les réseaux et les actifs numériques critiques.

Les organisations doivent constamment mettre à jour la protec-tion de leurs réseaux pour faire face aux menaces. Il est essen-tiel d’avoir conscience de la situation, d’analyser de façon détaillée les méthodes d’attaque et de comprendre comment les exploits ont été réalisées. Il ne suffit pas de savoir quelles attaques ont été réalisées ; il faut également savoir comment les cybercriminels ont procédé.

La différence qui existe entre le niveau de détection des con-tournements et le niveau de protection que proposent les dif-férents éditeurs de sécurité réseau est considérable. Et étant donné que les administrateurs de réseaux pourraient être incapables d’assurer une protection proactive contre les AET, leur seule option est d’être prêts à réagir immédiatement et efficacement. En conséquence :


Les AET pour les Nuls 36 ✓ Instaurer une surveillance centrale de tous les dispositifs

réseau – quel que soit le fournisseur ou le type – pour détecter toute activité suspecte

✓ Circonvenir une attaque, la corriger, et rapidement mettre à jour et configurer les dispositifs réseau pour minimiser les dégâts

Une console d’administration unique et centralisée permet aux administrateurs de surveiller à partir d’un emplacement unique, et de créer des configurations une seule fois, pour ensuite les déployer sur tous les dispositifs du réseau.

Réévaluation de la gestion des patchs

Quand c’est possible, l’application de patchs dans des sys-tèmes vulnérables apporte une protection suprême contre les attaques réseau, qu’elles soient réalisées par des AET ou non. Les attaquants peuvent contourner des systèmes de préven-tion des intrusions ou des pare-feux NG, mais ils ne peuvent pas s’attaquer à un système patché.

Étant donné que, même dans les meilleures circonstances, l’essai et le déploiement d’un patch prennent du temps, il est important d’avoir à disposition d’autres systèmes de préven-tion des intrusions et mesures de sécurité.

Vérification de votre solution actuelle de prévention des intrusions

Évaluez vos systèmes actuels de prévention des intrusions et de vos pare-feux NG pour savoir s’ils peuvent protéger votre réseau contre les AET.

✓ À l’heure actuelle, quel est leur degré d’efficacité contre les contournements ?


Chapitre 4: Protection contre les AET 37 ✓ Vous permettent-ils de réagir rapidement à des attaques

ou d’appliquer facilement des mises à jour dès qu’une menace est découverte ?

Soyez critique et anticipez : recherchez des solutions alter-natives. Le tableau 4-2 présente une comparaison entre le produit IPS de Stonesoft et d’autres produits IPS du marché.

Tableau 4-2 Comparaison entre les protections contre le contournementStonesoft IPS Autres produits IPSVisibilité de la pile complète

Stonesoft décode et normalise le trafic sur toutes les couches du protocole

Analyse d’une sélection limitée de couches

Élimination du contournement par la normalisation

Le processus de normalisation élimine les contournements avant l’inspection du flux des données

Inspection des segments indivi-duels ou des pseudo-paquets

Détection du flux de données des applications

Les signatures des vulnérabilités permettent de détecter un exploit dans les flux de données normalisés d’une application

Détection de codes malveillants basée sur les vulnérabilités et les exploits ; mise en correspon-dance des bannières uniquement

Recherche et outils en interne

Produit résistant aux contourne-ments dont la qualité est assurée par un fuzzing automatique pour détecter les contournements

Informations du domaine public et outils tiers

Mises à jour et mises à niveau

Mise à jour automatique de la technologie anti-contournement dans les systèmes IPS NG et les moteurs de pare-feux

Couverture limitée des contour-nements et mises à jour tardives



Les AET ont changé à jamais le paysage de la sécurité. Si un dispositif de sécurité n’est pas capable de gérer un contourne-ment, il est pratiquement inutile – quel que soit son taux de blocage ou le nombre de certifications et de prix qu’il a remportés.

Tests conduits sur le terrainDe nombreux éditeurs de sécurité savent comment survivre à un contournement simulé ou enregistré s’il est prédéfini et stable dans un environnement de laboratoire. Mais face à un exploit déguisé par un contournement réel et dynamique, ces systèmes sont aveugles et incapables de protéger les actifs que sont vos données.

Si vous désirez vraiment connaître le niveau actuel de votre pro-tection contre les AET, testez les capacités anti-contournement de vos systèmes de sécurité dans un environnement réel en faisant appel à vos propres politiques et configurations.


Technology

Les AET (techniques d’évasion avancées) pour les nuls