Zero Trust… pour être en confiance

Le piratage le 7 mai dernier du pipeline Colonial aura réussi ce que Sunburst, la plus grosse opération de cyberespionnage de l’histoire des États-Unis découverte il y a quelques mois, n’avait pas été capable de faire : amener les enjeux de cybersécurité au premier plan de l’actualité et des priorités gouvernementales américaines. Pour preuve, dès le 12 mai, le président Joe Biden a signé un décret pour créer un organisme fédéral d’enquête sur les piratages informatiques et la mise en place de nouvelles normes plus strictes en matière de sécurité et d’acquisition de logiciels par les instances gouvernementales américaines.

Quelles leçons en tirer au Québec? La Province compte quelques beaux fleurons de l’aéronautique et des industries de pointe, ainsi que de nombreux sièges sociaux de compagnies canadiennes et de multinationales. Ces entreprises sont-elles armées pour faire face à des attaques comme celle de Colonial ou de Sunburst? Doit-on s’inquiéter?

Selon Jean-François Vaillancourt, Président de NETsatori, la réponse est oui, il faut s’inquiéter : « Je ne pense pas qu’on doit rassurer les entreprises parce que le problème est, en fait, extrêmement grave. Ce que je vois sur le terrain, c’est qu’il y a beaucoup de gens qui n’ont pas l’air de réaliser à quel point le fait qu’Orion SolarWinds, un outil de surveillance réseau qui – par définition – parle à tout, ait été piraté les rend vulnérables. L’infrastructure vraiment intime des compagnies a été compromise. C’est, littéralement, comme si des pirates avaient pris le contrôle du système nerveux des corporations. »

Pour mémoire, l’astucieux et discret piratage de l’infrastructure de développement logiciel texane de SolarWinds par les pirates est au cœur de cette opération de cyberespionnage appelée Sunburst. En pénétrant grâce à ce Cheval de Troie dans le système même d’identification de Microsoft utilisé par Office 365 et son infrastructure Cloud Azure, les espions ont réussi à accéder à des milliers de courriels et de fichiers confidentiels de grandes entreprises et d’organisation gouvernementales américaines.

En cela, même si les deux attaques proviennent de Russie et ont des effets tout aussi dévastateurs, l’opération contre le pipeline Colonial et celle contre SolarWinds sont très différentes. La première ne se cache pas et vise « uniquement » selon les pirates à rançonner l’organisation, qui payera 5 millions de dollars dès le lendemain pour récupérer l’accès à son réseau. La seconde au contraire, Sunburst, a la particularité de ne pas avoir pris la forme d’une attaque frontale, qui serait assimilée à un acte de guerre, mais plutôt de s’être fondue dans une longue et silencieuse opération d’espionnage pour, sans nul doute, influencer des négociations commerciales ou politiques, et enrichir les connaissances des Russes dans la préparation d’autres actions, en ligne ou hors-ligne.

Le Scowcroft Center for Strategy and Security, qui a publié une étude approfondie sur ce qui constitue la plus grosse cyberattaque russe jamais menée contre les États-Unis, commence son rapport par une phrase assassine : « The Sunburst crisis was a failure of strategy more than it was the product of an information-technology (IT) problem (…) ». Le rapport jette autant le blâme sur les fournisseurs de services qui n’ont pas fourni tous les outils à leurs clients pour se défendre, que sur les organisations qui ont eu tendance à jouer l’autruche, et bien entendu sur l’administration fédérale américaine dont les politiques et procédures en matière de cybersécurité seraient complètement dépassées.

Pour les auteurs, Sunburst doit être, au niveau politique, le catalyseur d’une prise de conscience de l’importance stratégique d’adopter une approche concertée au sein de l’Alliance Atlantique afin de renforcer ses capacités défensives et offensives dans le cyberespace et ainsi remplir sa mission de sécurité des États-Unis et de ses alliés; et au niveau des organisations, Sunburst devrait être le déclencheur d’une mise à niveau radicale des politiques et des procédures de sécurité.

« Le problème, relève Jean-François Vaillancourt, c’est que cela revient un peu à fermer la porte de la grange après que les chevaux sont déjà partis. Pendant des mois, peut-être même plus d’un an, les espions ont pu récupérer des informations sensibles sans être inquiétés. Sunburst démontre que de nombreuses couches de protection ont failli, que la quasi-totalité des antivirus et la majorité des systèmes de sécurité n’ont rien vu, car c’est l’ADN même du code qui était corrompu. Cela me fait penser à un article écrit en 1984 [PDF] par Ken Thomson, un des inventeurs du langage B, précurseur du C. À l’époque déjà, il expliquait que s’il est capable d’introduire une backdoor, ou de compromettre un compilateur, tout le code qui va être généré par ce compilateur peut aussi être compromis. Donc, ce n’est pas un nouveau problème, c’est juste que là, on se l’est pris sur le nez de façon absolument magistrale de la part des Russes. C’est important de comprendre qu’aujourd’hui, c’est la notion même de confiance en informatique qui est ébranlée, alors que tous nos systèmes reposent là-dessus. Et je ne veux pas avoir l’air de faire de la pub pour des systèmes qu’on vend, mais il faut noter que les gens qui utilisaient les logiciels de Palo Alto Networks ou de CrowdStrike n’ont pas été affectés de la même manière, car les actions étaient considérées comme suspectes par leurs end-points sophistiqués, et donc bloquées. »

Ce à quoi fait référence Jean-François sont des systèmes basés sur des architectures logicielles de type Zéro Trust popularisées par John Kindervag et qui partent du principe qu’il ne faut faire confiance à aucune personne, aucun appareil, aucune adresse. Les accès sont, par défaut, limités au strict minimum et seul le comportement des usagers en fonction de la politique qui a été définie leur permet d’accéder aux ressources désirées.

Dans le cas de Sunburst, les pirates n’ont pas implanté de virus, potentiellement identifiables par leurs signatures. Ils se sont attaqués au début de la chaîne de production en s’introduisant dans les systèmes d’un fabricant de logiciels (SolarWinds) pour modifier dans certaines applications des fichiers DLL (Dynamic Link Library), ces fonctions thématiques qui constituent une des fondations du système Windows.  Le fabricant a alors distribué ses logiciels à de très grandes organisations sans se douter qu’ils contenaient une backdoor indécelable par les antivirus et pare-feu conventionnels. Face à ce type de stratégie destinée à voler des données en toute discrétion, seule une approche stricte de type zéro confiance, comme celle utilisée par Palo Alto Networks et par Google avec son architecture BeyondCorp qui permet d’analyser individuellement le moindre clic pour le mettre en contexte afin de déceler si l’action visée est conforme au profil de l’usager, sa machine, le lieu où il est, l’heure à laquelle il travaille, le type et le volume d’information consultée, etc.

Si Colonial avait segmenté son réseau dans une logique Zéro Trust, il est peu probable que les pirates eussent pu paralyser l’entièreté de ses systèmes.

« La bonne nouvelle, en fait, quand on fait l’analyse en rétrospective, continue Jean-François Vaillancourt, est que la majorité des vulnérabilités, peut-être 80 %, peut être éliminée simplement en implantant ou en durcissant le Top 5 des recommandations du CIS (Center for Internet Security), comme nous le recommandons à nos clients. Les études de cette ONG américaine démontrent que la plupart des attaques profitent de lacunes élémentaires en matière de sécurité. Nous le voyons tous les jours au Québec : un grand nombre d’entreprises, de très grandes entreprises même, ne font pas de journalisation de sécurité et n’ont aucune idée de ce qui se passe sur leur réseau. On voit donc des entités gouvernementales canadiennes, qui collaborent avec les États-Unis, aviser des entreprises québécoises : vous devriez faire attention, car vous semblez avoir du trafic anormal sur votre réseau! C’est bien, mais le mal est fait et les entreprises n’ont, en général, aucune idée depuis quand elles se sont fait pirater. »

Selon une étude récente, cela prend en moyenne 24 jours aux entreprises pour se rendre compte qu’elles ont été victimes d’une cyberattaque, et lorsque l’on parle de violation de confidentialité de données, le délai est plutôt de 280 jours selon IBM pour constater et confiner une telle intrusion. C’est d’autant plus préoccupant que, selon le département de cybersécurité du gouvernement anglais, on assiste au phénomène inquiétant depuis le début de la pandémie de Covid-19 d’avoir, d’un côté, une augmentation du nombre d’intrusions (65% des entreprises disent avoir été attaquées) et de l’autre, une diminution de 5% des investissements dans les outils de monitorage des réseaux, laissant présager que le nombre de piratages est sans doute bien supérieur à ce que l’on croit. La recherche approfondie effectuée par les Anglais met en évidence une réalité très proche de ce que l’on voit au Québec : seulement 15% des entreprises font faire des audits de sécurité et, moins encore, 12%, vérifient si leurs partenaires d’affaires ont des politiques de sécurité.

De la même manière que lors d’une tempête, on se fie au radar et on ferme les écoutilles, les entreprises doivent monitorer leur réseau et bloquer tous les accès. « Comme beaucoup d’autres firmes de cybersécurité en Amérique du Nord, conclut Jean-François Vaillancourt, NETsatori utilise la liste de contrôles de sécurité NIST 800-53, du National Institute of Standards and Technology, qui vérifie tous les systèmes d’information fédéraux américains, à l’exception des domaines liés à la sécurité nationale. On sert de cette liste pour cataloguer tous les risques, les pondérer, identifier les mesures de contrôle qui sont en place, et leur attribuer une note en fonction des meilleures pratiques. Cela va nous permettre d’établir un score dans les différents axes de sécurité et définir une stratégie pour améliorer la sécurité de l’organisation en établissant, entre autres, qui a des droits d’accès à quoi en fonction de ses profils dans une logique Zéro Trust. Si de telles pratiques avaient été implémentées avec rigueur, il est probable que nous n’aurions pas vécu la débâcle de SolarWinds et Colonial… »

Partager:
Retour vers toutes les nouvelles

Laisser un commentaire